XXXXXX调查规划院
信 息 安 全
建
设
方
案
(V16)
成XXX限公司
Chengdu XXXX Information Technoloy Co Ltd
二OO八年十月
文 档 状 态
文件状态
[ ]草稿文件
[ ]正式文件
[√]更改正式文件
文 件
标 识
LGYITS
前
版
V16
作 者
完 成
日 期
20081222
修订历史记录
日期
版
说明
作者
2008113
V10
根实际需求进步发展描述完成方案草案
2008114
V11
方案中问题进行修订完善
2008115
V13
方案中问题进行修订
提出三套档次解决方案
DMZ区设计进行修订
2008116
V14
三套方案产品预算进行调整
2008116
V15
第套方案二阶段进行调整
完善现设备分析
20081120
V16
完成产品介绍容
目 录
1 信息系统安全体系现状概述 1
11 现状概述 1
12 现状分析 1
13 拓扑结构说明 2
2 安全威胁分析 6
21 外部威胁分析 6
22 部威胁分析 6
23 总体威胁分析 7
3 总体需求容 8
4 网络信息安全体系总体方案 9
41 设计原 9
42 总体方案 9
5 详细设计 10
51 拓扑结构调整 10
52 出口安全设计 10
53 网络防病毒 11
531 容安全网关(防毒墙) 11
532 企业级网络版防病毒软件 11
54 构建全局安全网络体系 12
541 概述 12
542 IP址规划 13
543 VLAN规划 14
544 常见网络危害病毒防范设计 15
545 常见网络攻击防范设计 18
5451 MAC攻击 18
5452 DHCP攻击 18
5453 ARP攻击 19
5454 IPMAC攻击 20
5455 STP攻击 20
5456 DosDdos攻击 21
5457 IP扫描攻击 21
5458 网络设备理安全 21
546 全局安全网络(GSN)方案设计 22
5461 安全挑战 22
5462 理挑战 22
5463 方案详细介绍 22
5464 安全特性 23
5465 理特性 24
5466 详细功 24
5467 交换设备升级 26
55 应扩展安全体系建设 26
551 总体方案 26
552 服务器DMZ区 27
553 入侵检测系统(IDS) 27
554 应控制引擎 28
555 数中心构建 31
6 方案特色 37
7 建设计划资金预算 38
71 方案1—中低配置方案 38
72 方案2—中档配置方案 40
73 方案3—中高配置方案 42
8 设备选型 44
81 防火墙RGWALL160M 44
811 产品特性 44
812 技术参数 45
82 防火墙RGWALL1600S 48
821 产品概述 48
822 产品特性 49
823 技术参数 51
824 扩展模块 54
83 RGS2126G安全智交换机 55
831 产品概述 55
832 产品特性 55
833 技术参数 58
84 防病毒安全套装 PESA40 59
841 PESA特性 60
842 模块介绍 60
85 入侵检测系统RGIDS500 61
851 产品概述 61
852 产品特性 62
853 技术参数 64
86 RGSMP安全网络理台 64
861 产品概述 64
862 产品特征 65
8621 身份认证功 65
8622 机端点防护功 65
8623 网络通信保护功 66
1 信息系统安全体系现状概述
11 现状概述
单位计算机网络信息系统建设初仔细规划结构合理运行维护方便建设初期网络系统应系统均相简单信息系统安全重性未体现出应限部局域中外网访问普通网信息服务信息系统安全措施技术手段相较少
着IT技术飞速发展种应断丰富国家金字号工程建设电子商务电子政务断深入单位网络规模断扩应断增加陆续扩网络规模增加种业务系统网络信息系统频率巨增提供外资源服务增加病毒感染网络入侵等危险原设计实施网络信息系统安全技术手段相关设备措施已远远满足现单位网络信息系统安全需迫切需解决信息系统安全问题构建全局安全网络立体信息安全体系
12 现状分析
网络规模断扩应断复杂频率断增单位网络已变复杂难理存着极信息安全风险
现网络结构图示:
13 拓扑结构说明
网络通Quidway AR 2880模块化路器接入Internet带宽10M
Quidway AR 2880功性:
Quidway AR284080模块化中心路器华AR系列路器中面运营商企业户网络产品采32位微处理器技术VRP(通路台)提供极丰富软件特性支持哑终端接入服务器金融POS接入功 支持SNADLSwVoIP特性等提供丰富备份方案QoS特性硬件采模块化结构具更高处理力更接入密度采华公司VRP网络操作系统台支持更功特性适合型网络中担汇聚层路器中型企业网中担核心路器
特点:
Ø 采VRP操作台
Ø 提供VPN解决方案
Ø 提供定网络安全功
Ø 支持种互连协议
Ø 支持丰富网络协议
Ø 支持应层协议业务特性
Ø 支持QoS
Ø 处理器 MPC8245 300MHz
Ø 转发性 110120KPPS
Ø NVRAM 128KB
Ø FLASH 32MB
Ø SDRAM 缺省:128MB :256MB
采华S5510核心交换机采10M链路路器连接接入层交换机采100M连接
S5510功性:
产品类型
企业级三层网型交换机太网型
传输方式
存储转发方式
背板带宽
48Gbps
包转发率
3571Mpps
外形尺寸
440×360×436mm
重量
5Kg
接口类型
101001000BASET端口
接口数目
24口
传输速率
10M100M1000Mbps
模块化插槽数
4
理端口
1Console端口
堆叠
堆叠
支持网络标准
80238023uIEEE 8023xIEEE 8021DIEEE 8021Q
VLAN支持
支持支持端口VLAN(4094)
端口聚合
支持支持FE(Fast Ethernet)端口聚合支持GE(Gigabit Ethernet)端口聚合支持LACP(Link Aggregation Control Protocol链路聚合控制协议)
网功
支持支持命令行接口(CLI)配置支持Telnet远程配置支持通Console口配置支持SNMP(Simple Network Management Protocol)V1V2cV3支持WEB网
否支持全双工
支持
MAC址表
12K
性
支持交流电源输入直流电源输入
采Quidway S2000Quidway S2100作接入交换机桌面连接100M
Quidway S2000功性:
项目
S2008EI
S2016EI
S2403HEI
固定端口
810100M太网电口
1Console口
1610100M太网电口
1Console口
2510100M太网电口
1Console口
扩展槽位数量
1
1
扩展接口模块种类
100BaseFX模模块100BaseFX单模模块100BaseFX单模中距模块百兆远程受电接口模块
100BaseFX模模块100BaseFX单模模块100BaseFX单模中距模块
线速二层交换
端口支持线速转发
包转发率:S2008EI119MppsS2016EI253MppsS2403HEI387Mpps
交换模式
存储转发模式
VLAN
支持符合IEEE 8021Q标准VLAN支持512VLAN
支持基端口VLAN
支持GVRP
组播
GMRP
IGMP Snooping
生成树协议
支持STPRSTPMSTP
端口汇聚
支持4812组端口汇聚端口汇聚组8端口
广播风暴抑制
端口支持基带宽百分广播风暴抑制
端口镜
支持端口镜镜端口镜端口数量没限制
MAC址表
址学
IEEE 8021D标准
支持4KMAC址
流控
支持IEEE 8023x 流控(全双工)
支持背压式流控(半双工)
加载升级
支持XModem协议实现加载升级
支持FTPTFTP加载升级
理
支持命令行接口配置
支持Telnet远程配置
支持通Console口配置
支持SNMP
支持RMON 1239组MIB
支持iManager N2000 DMS网系统
支持HGMP V2集群理
支持系统日志
支持分级告警
维护
支持调试信息输出
支持PINGTracert
支持Telnet远程维护
QoS
支持DSCP优先级8021p优先级
支持端口出方入方报文双端口限速带宽分配支持64Kbps精细粒度
支持WRRHQ+WRR队列调度算法
支持流量统计
安全特性
支持MAC址端口绑定
支持端口锁定
属8021Q VLAN端口间设置隔离互通
户分级理口令保护
支持基端口基MAC8021X认证
远程受电
S2016EI直流机型支持远程受电满足8023af标准
外形尺寸(W╳D╳H)
216mm x 40mm x 117mm
436mm x 42mm x 200mm
436mm x 42mm x 240mm
重量
<2kg
≤3kg
≤3kg
电源
采外置电源供电外置电源输入电压输出电压:
输入额定电压范围:100240V ac 5060Hz
输入电压范围:90264V ac 5060Hz
输出电压:12V dc
输出电流:1A
AC:
额定电压范围:100240V ac 5060Hz
电压范围:90264V ac 5060Hz
DC:
额定电压范围:48 60V dc
电压范围:36 72V dc
功耗
8W
12W
15W
工作环境温度
0~45℃
工作环境湿度
10~90 (凝结)
拓扑结构总体带宽已满足现需求进步发展求交换设备特接入层设备支持千兆扩展安全性组播力IPV6支持等均显足应考虑升级
核心交换机划分VLAN定程度方便理定程度抑制广播风暴
网络总体病毒攻击等安全威胁防范力措施足现需求进步发展需求必须加强
基网络应越越复杂网络越越频繁情况加者计算机应力参差齐行难规范单位网络常面ARP蠕虫木马等病毒攻击众威胁必须仔细分析基础部署安全设备措施防病毒外威胁网络信息系统造成威胁进行户行理流量控制时必须考虑单位公众提供资源服务应安全
2 安全威胁分析
通现状分析单位网络安全正遭受着Internet网量威胁解决网络安全数信息安全流量控制服务质量保证病毒攻击防范等必须针单位网络安全威胁进行全面分析
21 外部威胁分析
单位网络通电信10M出口直接接入Internet现部署1台路器没部署防火墙设备私IP应NAT外网基完全暴露Internet面巨威胁
Internet资源样性户复杂性存插件威胁软件采密灌技术网站流氓网站流氓软件等网络户知情情况便感染病毒受攻击安全威胁必须采相应技术手段设备防止类威胁单位网络信息系统影响时单位网络接入Internet外黑客攻击间谍软件提供入侵机会类威胁业务系统关键数造成巨威胁必须严加防范
22 部威胁分析
单位网络户达400安全意识技术水等参差齐网络信息系统安全带极威胁包括点:
(1) 求私U盘等移动存储设备病毒等威胁网进行传播
(2) 擅访问威胁网站载插件网络造成安全威胁
(3) 擅访问病毒流氓软件网站网络资源网络造成安全威胁
(4) 擅安装聊天游戏电影P2P等应软件带病毒等安全威胁
(5) 擅访问载害资源
(6) 擅P2P载软件线视频等量消耗网络带宽
(7) MAC攻击:占满交换机MAC址表
(8) DHCP攻击:户法正常分配IP址
(9) ARP攻击:法正常网通讯中断流量消耗
(10) STP攻击:导致网络瘫痪
(11) DOSDDOS攻击:占网络带宽占服务器提供服务资源
分析部威胁单位网络带危害丝毫外网定程度更频繁破坏更严重必须加强理
23 总体威胁分析
序号
源
容
原
风险级
1
Internet
病毒蠕虫木马
知情情况网络传播
普通
2
Internet
黑客间谍软件
恶意
普通
3
部行
病毒蠕虫木马
移动存储设备
极高
4
部行
黑客间谍软件
恶意
低
5
部行
病毒蠕虫木马
收发邮件
极高
6
部行
病毒蠕虫木马
访问非安全网站
极高
7
部行
病毒蠕虫木马
私安装软件
极高
8
部行
黑客间谍软件
聊天软件
极高
9
部行
带宽资源消耗
P2P电影
高
10
外
MAC攻击
病毒恶意
高
11
外
ARP攻击
病毒恶意
极高
12
外
DHCP攻击
病毒恶意
高
13
外
STP攻击
病毒恶意
高
14
外
DOSDDOS攻击
病毒恶意
高
15
外
应数窃取破坏
病毒木马恶意
极高
通分析单位网络信息系统面安全威胁影响极外网威胁素进行监控防范时必须部行造成威胁进行严格控制理必须源头遏制住病毒蠕虫木马恶意网络恶意攻击等威胁单位网络信息系统造成影响
3 总体需求容
根分析总结提出应需求:
Ø 需部署防火墙保证外数交换安全
Ø 局域网布置防病毒攻击
Ø 终端计算机理方案(端口IP址机器码绑定理)
Ø 流量监控控制
Ø 未涉公众提供外资源服务数交换量较需包含外资源服务建设规划
通应需求安全威胁分析提出信息安全体系建设总体需求容:
ü 改造网络出口部署防火墙保证数交换安全
ü 网络干实施千兆拓展构建万兆核心千兆骨干百兆(千兆)桌面高速网络
ü 部署防毒墙网络版杀毒软件效防止病毒恶意软件传播感染
ü 加强网行理通软硬体系构建全局安全网络统威胁理
ü 实现网实名制网网户进行身份认证
ü 实现终端设备IP址MAC址交换机端口绑定效防范ARP欺骗ARP病毒攻击
ü 实现基应策略流量监控控制
ü 提供外资源服务时构建服务器DMZ区部署入侵检测系统建设数中心确保数安全
4 网络信息安全体系总体方案
41 设计原
方案原设计实施:
² 软硬结合技术手段理制度结合
² 重软硬件时必须强调安全意识培养强化网络信息系统安全问题必须提高政治高度
² 外兼顾重外威胁防范时强调部威胁理部威胁源严防死守
² 立足现状预见未解决目前问题时必须效预见会安全威胁
² 事先防范事定位快速恢复威胁变危害前加防范旦出现危害应快速找出原分析判断障快速恢复
42 总体方案
针单位网络安全受威胁分析必须提出行效解决方案包括容:
(1) 物理拓扑结构改造优化
(2) 科学合理IP址规划优化
(3) 实施出口安全实施
(4) 实施防病毒软硬方案
(5) 构建全局安全网络体系
(6) 确保服务器数库安全建设数中心部署容灾容错备份系统
(7) 实施运行保障体系
5 详细设计
51 拓扑结构调整
52 出口安全设计
应部署专业防火墙设备
出口防火墙应具备扩展状态检测功防范入侵(URL滤HTTP透明代理SMTP代理分离DNSNAT功审计报告等)附加功处理力应达1000Mbps
应支持支持扩展状态检测技术具备高性网络传输功时启动态端口应程序(VoIPH323等)时提供强力安全信道
应支持安全协议栈具备强处理功防范外网病毒攻击时应具备完整网安全理户网络情况进行实时监控时隔离异常客户端
53 网络防病毒
531 容安全网关(防毒墙)
硬件安全网关透明接入防火墙核心交换机间位网络咽喉台设备防护全网时政网中台计算机进行理配置
开启防毒墙HTTPFTPSMTPPOP3等协议扫描防止浏览网页传载收发电子邮件带病毒时阻断进出Mail服务器垃圾邮件保证邮件服务器安全高效启容滤模块进出服务器容进行滤
防毒墙通输入激活码便隔时动网更新
时带冗余系统保证系统身稳定运行网关防毒首选产品
532 企业级网络版防病毒软件
网络防病毒方面采网络版杀毒软件
应方便网络中计算机保护配置更新计算机包括:工作站文件服务器邮件服务器SMTP网关边界服务器
仅应抵御病毒蠕虫特洛木马防护新Internet攻击垃圾邮件间谍程序拨号器黑客工具恶作剧等针系统漏洞提供保护阻止安全险
应具间断保护功少天次已作更新动分发网络中采户透明新机制结果提高产品质量理员集中精力工作中
应具备功特性:
ü 应保护电子邮件通讯保护接收发送电子邮件通讯安全免受病毒感染
ü 保护整网络边界保护网Internet间连接
ü 抵挡类型Internet攻击包括客户端桌面保护
ü 通中央理工具台计算机进行整网络集中理
ü 预计量传播感染攻击信息通预先提示信息系统发布新详细相关信息
ü 日动更新抵挡新病毒
54 构建全局安全网络体系
541 概述
根现需求考虑未发展趋势需建立统信息传输网络满足数语音视频图媒体等相关信息传输实现办公财务部门等正常访问网络时满足部网络间高速转发
网络总体设计思路采星型高速太网网络体架构样架构充分提高网络扩展性易维护性稳定性
采千兆干百兆桌面设计思路采核心—汇聚—接入三层网络架构核心汇聚汇聚接入交换机均应采千兆连接时通汇聚层安全功减轻核心层路安全处理压力提高整体网络性
(1)网络出口采防火墙设备提供抵抗外网攻击等功效防止蠕虫等病毒攻击时效防止BT电驴等网络带宽占
(2)核心层原核心交换机
(3)接入层升级安全智交换机应支持丰富ACL策略防ARP欺骗功等提供丰富安全策略防止病毒网络攻击危害提供千兆扩展接口
(4)部署套综合网络安全理软件负责整网络设备服务器户PC拓扑发现设备理做实时网络流量监控预警功通套软件网员足出户理网络中台设备端口提高网员理效率整网络安全性
理软件配合构建软硬体全局安全网络体系
542 IP址规划
网络说IP规划设计非常重方面体现网络设计规范性方面日网络理维护会起非常重作
IP址规划应科学性系统性完整性扩展性原采先进网络编码技术保证信息交换效率质量相时期保持技术先进性时充分考虑现期工程实施性更加便记忆理网络建设中网络IP址规划采统IP址分配方式保证IP址唯性具体说IP址规划应该遵循原:
u 扩展性:IP址规划划分应该考虑网络发展够满足未发展需满足期工程IP址需求时充分考虑未业务发展预留相应址段
u 唯性:IP网络中两机采相IP址
u 简单性:址分配应简单易理降低网络扩展复杂性简化路表款项
u 灵活性:IP址分配需足够灵活性够满足户联网需
u 连续性:连续址层次结构网络中易进行路径叠合缩减路表提高路算法效率
u 高效性:IP址分配必须采VLSM技术充分合理利已申请址空间保证IP址利效率采CIDR技术减路器路表加快路器路收敛速度减网络中广播路信息
IP规划时候保障全网统理需接入户网络设备进行统IP规划分接入户IP规划网络设备理IP规划两部分
接入户IP规划建议采熟悉B类址17216XX样根VLAN分配IP方便日网络理者网络理然根部门者根理位置进行详细子网划分
网络设备理IP规划建议采C类址1921680X样非常方便区分设备IP易日网络维护
543 VLAN规划
网络成必少工具信息处理成日常工作重心VLAN技术运显越越重VLAN信息系统意义体现:
(1)VLAN改善网络通信效率通信流量局限子网中会子网产生干扰
(2)VLAN避免广播风暴较规模网络中量广播信息容易引起网络性急剧降低甚网络瘫痪VLAN广播子网中进行会作意义扩散消广播风暴产生条件
(3)VLAN增强网络信息安全性子网间法意进行访问信息流通相控制
(4)VLAN网络组织更具灵活性网络户网络中物理位置会影响该户逻辑访问权限说网络规划完全会受物理限制
VLAN划分IP子网规划存关系具体实施程建议进行:
(1)全网IP址进行全面规划确定子网机数量根IP子网机数量确定掩码长度
(2)确定IP子网聚合点聚合点采连续子网划分聚合点核心路交换机通告少路
(3)选择合适路协议进行子网路
(4)根IP子网规划交换机进行VLAN规划划分建立VLANIP子网应关系
(5)网络理系统采完全独立IP子网VLAN实现更安全网络设备进行理
(6)根信息流量走分布确定服务器集群VLANIP子网
(7)三层路交换机建立相应VLANVLAN绑定IP子网网关
(8)建立相应子网间访问策略三层路交换机配置访问列表
方案应选择采统标准(8021q)虚拟网标记协议交换设备真正实现跨越交换机跨越干灵活虚拟网划分
通虚拟网划分数点划分成独虚拟网方便交换数时隔离外界必干扰样应系统站点物理分布皆构成虚拟网络正坐办公室连接交换机样虚拟网间访问通层交换实现接受严格安全访问控制极关键敏感希外界交流应系统虚拟网层交换机作相应配置满足种层次安全需求直实现完全隔离受外界侵入
544 常见网络危害病毒防范设计
现网络病毒网络击影响已越越非常猖狂红色代码(codered)击波(MS Blaster)等网络病毒必网络病毒继续效控制
红色代码病毒--蠕虫特洛伊木马黑客结合双特征病毒恶意IP址扫描病毒定算法生成IP网段IP址80端口发送HTTP GET请求请求连接成功会发送包含缓溢出代码导致没补丁IIS服务器缓溢出机遭受感染 遭受病毒感染服务器台开辟600线程扫描占量系统资源次感染机WEB服务器80端口发起长度66字节SYN请求包DoS攻击病毒量扫描DoS攻击导致网络路器三层交换机载表现户网速度变慢网络阻塞性高路器三层交换机载根监听分析通60台IIS服务机网络RED CODE外相互攻击包秒通路器均达4239传播速度非常惊图:
红色代码变种利微软IIS远程缓存溢出漏洞获系统权限感染Web服务器拷贝门程序IIS设置完全享虚拟目录黑客完全访问权限全面控制攻击网络全部资源网络安全构成极高威胁
里利交换机ACL关闭网段普通机扫描端口80(样造成果非普通网员法提供WEB服务—事实应该普通网员具备提供WEB服务功)样杜绝面积病毒传播时病毒影响控制接入层核心设备病毒影响网络终断外提供充足时间网络中客户进行杀毒修复等等攻击隐患消开启应服务端口(需提供Web服务服务器)
击波病毒--蠕虫病毒针Microsoft Windows远程缓区溢出漏洞蠕虫该漏洞影响没安装MS03026补丁Windows2000Windows XPWindows 2003系统仅服务器包括计算机危害极
l 蠕虫感染系统首先检测否名BILLY互斥体存果检测该互斥体蠕虫会退出果没创建然蠕虫会注册表中添加键值:windows auto updatemsblastexe保证次户登录时候蠕虫会动运行
l 蠕虫UDP69端口建立tftp服务器受侵害系统传送蠕虫二进制程序msblastexe
l 蠕虫选择目标IP址时候会首先选择受感染系统子网IP然定算法机互连网ICMP 扫描方法选择目标攻击发送量ICMP报文(Ping包)
l 旦连接建立蠕虫会目标TCP135端口发送攻击数
l 果攻击成功会监听目标系统TCP4444端口作门绑定cmdexe
l 然蠕虫会连接端口发送tftp命令回连发起进攻机msblastexe传目标系统然运行
遭击波病毒感染计算机会出现症状:
(1) 户网变慢ping丢包严重
(2) 莫名妙死机重新启动计算机
(3) IE浏览器正常开链接
(4) 复制粘贴时出现应程序Word异常
外攻击者成功利漏洞系统权限执行意指令系统执行意操作安装程序查修改删数建立系统理员权限账户
里利交换机ACL关闭ICMP服务相应端口达控制击波病毒传播目
accesslist 101 deny tcp any any eq 135
阻止感染病毒PC正常PC135端口发布攻击代码
accesslist 101 deny udp any any eq tftp
限制目标机通tftp载病毒
accesslist 101 deny icmp any any
阻断感染病毒PC外发送量ICMP报文防止堵塞网络
然应相应网口例fa01
int fa01
ip accessgroup 101 in
样阻断Blaster蠕虫病毒传播
545 常见网络攻击防范设计
网络中针交换机攻击必须交换机攻击种:
Ø MAC 攻击
Ø DHCP攻击
Ø ARP攻击
Ø IPMAC欺骗攻击
Ø STP攻击
Ø DoSDDoS攻击
Ø IP扫描攻击
Ø 网络设备理安全
5451 MAC攻击
攻击:
交换机部MAC址表空间限MAC攻击会快占满交换机部MAC址表单播包交换机部变成广播包VLAN中端口转发连端口客户端收该报文交换机变成Hub户信息传输没安全保障
防范:
利交换机端口安全功MAC动态址锁端口静态绑定MAC1x端口端口动动态绑定MACIP限定交换机某端口学源MAC数量源MAC址该端口学MAC数量超限定数量时交换机产生违例动作
5452 DHCP攻击
DHCP攻击:
恶意户通更换MAC址方式DHCP Server发送量DHCP请求消耗DHCP Server分配IP址目合法户IP请求法实现
防范:
利交换机端口安全功:MAC动态址锁端口静态绑定MAC1x端口动动态绑定户IPMAC限定交换机某端口访问网络MAC址控制:通变化MAC址恶意请求IP址消耗IP资源DHCP攻击交换机端口MAC址数目已达允许数果该端口收源址属端口MAC安全址包时交换机采取措施
DHCP攻击二:
非法DHCP Server合法户IP请求分配正确IP址网关DNS等错误信息仅影响合法户正常通讯导致合法户信息发非法DHCP Server严重影响合法户信息安全
防范:
Ø 控制客户端发出DHCP请求报文广播出
Ø 检查控制DHCP响应报文否:合法DHCP Server发出报文
接入交换机般具DHCP Relay功收DHCP请求广播报文VLAN端口转发
选择交换机应具DHCP Relay功旦启DHCP Relay功配置DHCP ServerIP址客户端发出DHCP请求交换机中广播包形式转发出直接交换机CPU效避免DHCP请求报文广播出非法DHCP Server收
交换机CPU处理单播形式发指定DHCP Server收DHCP响应报文(OfferACKNAK报文)CPU会判定报文中源IP址否交换机中设定DHCP Server址保证DHCP响应报文合法性
仅仅设定交换机某端口接受DHCP响应报文更合理
5453 ARP攻击
ARP 攻击:ARP欺骗
ARP欺骗者:利ARP漏洞发送虚假ARP请求报文响应报文报文中源IP源MAC均虚假错误网关IP网关MAC应关系扰乱局域网中PC网关中保存ARP表网络中合法PC正常网通讯中断流量流入攻击者手中
ARP欺骗防范:
利交换机端口ARP检查安全功:开ARP报文检查ARP报文中源IP源MAC否绑定致效防止安全端口欺骗ARP防止非法信息点充网络关键设备IP(服务器)造成网络通讯混乱
5454 IPMAC攻击
MAC欺骗:
盗合法户MAC址侵入网络正常户法网
IP欺骗:
Ø 盗合法户IP址合法户通讯响应造成Ping of deathICMP达风暴
Ø 断修改IP发送TCP SYN连接攻击Server造成SYN Flood
防范:
Ø 交换机端口安全:端口静态绑定
Ø 交换机整机绑定IPMAC址
Ø DHCP动态绑定(1x认证环境S2126S支持该功)
Ø 8021x
检查IP报文中源IP源MAC否交换机中理员设定否致致报文丢弃发送告警信息
5455 STP攻击
发送虚假BPDU报文扰乱网络拓扑链路架构导致整网络瘫痪
防范:
交换机具备BPDU Guard功禁止网络中直接接户端口接入层交换机连端口收BPDU报文防范户发送非法BPDU报文
接入层交换机没冗余链路情况量开启STP协议
5456 DosDdos攻击
Dos攻击:
占网络带宽占服务器提供服务资源表现合法户请求服务响应攻击方CPU满负荷存足攻击报文采伪装源IP
防范:
RFC 28227入口滤规
5457 IP扫描攻击
许黑客攻击网络病毒入侵扫描网络活动机开始量扫描报文急剧占网络带宽导致正常网络通讯法进行
防范:
防IP扫描:检测户隔离户(发日志信息)恢复通讯(发日志信息)
监控攻击机数量隔离户时间根网络实际状况设置
5458 网络设备理安全
网络理说网络中薄弱环节旦攻击者登录交换机交换机配置安全防范措施化乌必须重视交换机理安全
Ø 般网络理协议:SNMPv2TelnetWeb等明文登录传输信息量SSHSNMPv3等秘文传输方式登录交换机交换机间加密传输
Ø 理VLAN户VLAN分开
Ø 交换机端口划VLAN中口Shutdown需时开启
Ø 限制理交换机IP选择交换机必须支持TelnetWeb源IP访问控制列表
546 全局安全网络(GSN)方案设计
单位网络建设中考虑全网网络安全应采全局安全网络解决方案整方案采分布式设计体系采身份认证系统安全策略系统时核心层旁路部署1台IDS(入侵检测)设备做安全检测
5461 安全挑战
Ø 户网络意点意接入网络出现安全问题法追查户身份
Ø 网络病毒泛滥网络攻击成升趋势安全事件发现控制基采取手工方式难时控制防范
Ø 未知安全事件网络病毒法控制
Ø 户普遍安全意识足理者单方面安全控制理难度
Ø 现安全设备工作分散法协理协工作形成单点防御种安全设备理复杂网络整体安全性提升限
Ø 某安全设备采取网络串行部署方式容易造成性瓶颈单点障
Ø 法户网络行进行记录事审计困难
5462 理挑战
Ø 户信息量设置理困难
Ø 网络出现障难准确定位迅速解决
Ø 针户IP址理困难存IP址盗IP址突等情况
Ø 难动接入户时间点进行控制
Ø 文件补丁软件难时发户
5463 方案详细介绍
高安全易理全新企业政府网解决方案六组件构成
(1) 认证理台——提供户身份址端口绑定功
(2) 安全策略台——发现安全事件进行判断确定调种安全策略进行处理
(3) 安全修复台——触发安全事件户隔离安全修复台动进行修复
(4) 入侵检测系统(IDS)——负责全网户行进行监控记录网络中存网络攻击异常流量蠕虫病毒P2P应等安全事件通告安全策略台
(5) 安全交换机——安全策略台发策略进行处理实时网络户安全事件进行阻断隔离
(6) 安全客户端——户安全行进行告警提示够安全策略台发补丁软件动安装运行
5464 安全特性
(1) 户身份IPMAC交换机端口交换机IP等信息严格绑定旦出现安全事件迅速追查
(2) 针网络中安全事件(网络攻击异常数流蠕虫病毒等)够动发现预定策略动进行处理保障网络安全
(3) 提供强实时线升级功抵御新网络攻击病毒
(4) 存安全问题户系统动告警提示户存问题处理方式提升户安全意识户切身体会安全问题严重性
(5) 网络安全组件统理协工作构建全局安全网络整套系统理简单期需投入理工作量
(6) 安全设备均旁路部署形成性瓶颈单点障部署完成极提升现网络性
(7) 系统详细记录户网络行需进行审计时迅速关联户身份接入时间接入点访问目等相关信息提供抵赖审计证
5465 理特性
(1) 应具户理模式量信息转化少量模板应设置时候少量应关系提高户理效率
(2) 户够清晰解系统动处理安全事件措施出现网络障时够提供网络线报修台提高障理效率极减轻网络中心工作压力
(3) 事件迅速追查
(4) 够提供种址绑定手段严格限定址获取方式防止IP址突盗
(5) 紧急系统补丁文件通知够简单便捷分发户户否线保证登陆网络第时间安装阅读
5466 详细功
(1) 安全功
Ø 强灵活绑定设置实现户账号户IP户MACNAS IPNAS Port静态绑定动态绑定动绑定程度保证户入网身份唯
Ø 限制户认证客户端程序类型版号动升级认证客户端程序防客户端破解
Ø 强日志功记录查询服务日志IDS详细日志系统日志理员操作日志户WEB助服务日志实现事审计
Ø 系统动发现网络中安全事件深度分析报文数字段超2000种安全事件病毒进行监测
Ø 系统进行实时线升级效防御新网络攻击病毒
Ø 针发现安全事件选择警告修复阻断三种处理方式选择事件否动执行段时间磨合理工作量
Ø 触发安全事件户进行动告警户知道网络行正监控
Ø 系统支持手动动文件发功户触发安全事件动户发修复程序该功微软紧急补丁全网发文件全网发
Ø 触发安全事件户动阻断攻击数流隔离修复区域
Ø 灵活策略发机制批量交换机进行策略部署出现紧急安全事件时第时间全网部署安全策略
Ø 日周月输出安全事件报表针认证户非认证户输出TOP 10安全排名安全理策略部署提供详细参考数
Ø 提供值守模式未知安全事件进行防御未知安全事件预设普通严重灾难三级根预先定义事件模板进行处理
Ø 系统应具备公安部安全销售许证
(2) 理功
Ø 应支持DHCP Option82配合交换机DHCP Relay实现户IP权限灵活分配
Ø 提供性化消息提示记录功包括系统广告性信息认证失败原信息户线原记录提示功
Ø 安全严格理员安全组理保证理员权限时提供灵活权限定制方式实现分级理权限细化第三级菜单
Ø 完善户理模式通完整组策略系统中服务接入控制接入时段帐号模板户组等概念系统中功进行全面系统组织仅利系统配置理利理解学系统
Ø 提供种线统计分析功包括线户信息户分布情况业务开通情况等
Ø 集成WEB网功网络中NAS设备IP网段进行统理
Ø 户WEB助注册功助申请注册查审批信息配合WEB理中户审核高效安全实现户资料收集记录
Ø 户WEB助服务功户通WEB助服务页面进行资料查询密码修改网明细查询等
Ø 支持集团户方便独立机房分级综合理
Ø 支持LDAP协议方便实施户身份信息统集中理
Ø 实时短消息功方便理员现户沟通信息发布
Ø 针户组户BACL功复合绑定策略范围漫游
5467 交换设备升级
配合部署全局安全网络接入交换机升级安全智交换机应支持千兆扩展IPV6
55 应扩展安全体系建设
单位网络信息系统公众提供外资源服务数交换量较安全性稳定性性求高应扩展必须建立更健壮安全体系
551 总体方案
总体方案应建立全局安全网络(GSN)基础加强容:
(1) 建立服务器DMZ区
(2) 加强入侵检测
(3) 采应控制引擎
(4) 构建稳定安全数中心
552 服务器DMZ区
增加应系统公众提供资源服务必建设应系统服务器群采热备负载均衡等技术实现稳定公众服务时应防范外网络病毒攻击恶意访问
必须原全局安全网络基础通网安全防火墙构建服务器DMZ区服务器区实施效安全保证防止外威胁时防止网安全威胁
553 入侵检测系统(IDS)
入侵检测系统旁路方式网络中部署实时检测数包中发现攻击行疑行求攻击行检测极高准确性错误攻击行检测攻击行身带危害巨保证准确性入侵检测系统应丰富攻击识检测技术技术中种应固优势弱点说明什没种单入侵检测技术够达户接受防护效果
IDS网络中应够阻止外部部蠕虫病毒攻击带安全威胁确保信息资产安全够检测种IM时通讯软件P2P载等网络资源滥行保证重业务正常运转够高效全面事件统计分析迅速定位网络障提高网络稳定运行时间
结合网络中网络产品网络安全产品便容易构建整体全方位安全理体系
方面集中理整网络访问控制策略监测阻止网络中种疑行收集网络中设备安全事件数进行标准化集中进行关联智分析方便户量安全时间中快速准确定位威胁方面结合漏洞扫描您提前确定系统否存已知漏洞做防范未然建立实时动仅仅响应式整体网络安全防御体系
554 应控制引擎
提供公资源服务网络流量成级数增长必须采专家级应控制引擎够全面识控制包括P2PVoIP视频流媒体HTTP网络游戏数库中间件等种应配合户定义带宽策略带宽动分配算法网络链路划分虚拟带宽通道够实现带宽限制保证带宽带宽租带宽配额应优先级机公队列等系列带宽理功提供动式智化视化带宽理应优化解决方案达视测控优化理目标带宽优化控网络规划提供科学
应实现功:
u 网络实时流量监控分析
网络流量实时采集监控精细分析网络运行状况应情况带宽情况等状况完全视化
基协议基IP址(户)两种类型实时流量分析器提供访问源目IP址服务端口应协议Session数流量等详细信息
u 应层动识分类
P2P应:BittorrenteMuleKAZAAKURONAPSTER EDONKEYAUDIOGALAXYEZPEERKUGOOGNUTELLAVAGAASOULSEEKPOCOPIGO等30种P2P软件
IM应:MSNYahooICQAOLQQYAHOOWEBIMIRCXMPP等种流IM软件
视频Streaming应:新浪直播搜狐直播RTSPSIPPPSTREAMPPLIVEAPPLEQTCCCIPTVQUICKTIMEREALPLAYERMMSQQliveH323等流视频流媒体应
网络游戏:COUNTERSTRIKE QUAKE1 DOOM3QQGAMECGASUBSPACE XBOXLIVE QUAKEHALFLIFE BATTLEFIELD1942WOW联众等网络游戏
炒股软件:智慧证劵信息台天证劵网交易系统华泰网交易分析系统证券星等炒股软件
企业办公数库中间件:HTTPSMTPPOP3IMAP文件享FTPSQL ServerOracleDB2WebSphere MQ等企业关键应
户关键应提供量身定做定义特征码
u 网络流量控制理
支持基户(源IP址)目标IP址时间协议应等参数进行灵活阻断允许功
支持基户(源IP址)目标IP址时间协议应等参数进行行行带宽控制
支持基户(源IP址)目标IP址时间协议应等参数进行Session数量控制
支持组象配置定义户组(IP组)协议组(P2P协议组游戏组)类型应相级户进行带宽理策略控制
u 流量整型应优化
支持定义虚拟带宽通道带宽限制保证带宽带宽租应优先级机公队列等系列应优化带宽理控制功
u 提供丰富图表报告分析统计
提供年应协议流量纪录生成天周月季度年时间段应协议带宽统计报告包括:总带宽分析报表应带宽分析报表基协议带宽分析报表基协议流量方(进入出)带宽分析报表基应流量方(进入出)带宽分析报表基IP址带宽分析报表户定义报表等等
u 应层防火墙
应层防火墙够识阻断黑客端口扫描DoS攻击行支持通Session数控制带宽控制提高网络性安全性
u 集中化图形化理台
提供图形化理台台理服务器集中理网络台ACE设备图形化理台采JAVA架构够适应种操作系统服务器户需利浏览器远程访问理服务器进行设备理
555 数中心构建
增加应系统公众提供资源服务便应系统业务系统数存储安全性性稳定性提出极高求必须构建数中心采基IPSAN数中心
应采应新网络存储技术开发IP SAN网络存储系统应具备容量高性全方位资料保护系统备份架构设计等优点符合网络存储快速增长需求
应支持功:
u 应具备性佳硬件RAID
应采硬件RAID技术发挥串行ATA(SATA)威力优化硬件XOR RAID 56引擎提供真正基RAID硬件智驱动理功硬件RAID控制器速率应超秒700兆字节(MBsec)持续RAID5读出400MBsec RAID5 序写入CPU应<3%
Ø 支持RAID级0110550单硬盘(JBOD)6
Ø 点点阻塞交换体系结构获高性
Ø 支持热插拔热备份保证数性
Ø 动态扇区修复数受严密保护
Ø SMART磁盘驱动器监控确保性
Ø 紧急情况快速恢复避免固件升级程中发生掉电
Ø 基浏览器理工具
u 友理界面
Ø Web网页方式理界面系统设定档案理更容易操作支持台SSL安全传输协议提供英文繁体中文简体中文等国语言接口
Ø 通理界面直接更新系统软件
Ø 动侦测系统状态电子邮件提醒理者
Ø 系统纪录方便理者追踪系统状态
Ø 支持SNMP网络理协议
Ø 详线说明(OnLine Help)功操作步骤问题时解决
u 数保存
Ø 具热插拔功硬盘插槽标准配置容纳SATA硬盘储存容量达数十TB级(750GB SATA硬盘)
Ø RAID 0151050JBOD6磁盘阵列技术RAID 156具动重建热备援功
Ø 线直接控制RAID状态线增减规划储存空间支持MultiVolume功扩充更具弹性
Ø 支持单超档案 (>2GB)
Ø 数系统设定快速周期性备份(恢复)机磁带机USB硬盘远程UnixLinux机磁带机硬盘
Ø 提供台设备间通局域网络特网进行周期性数步加密传输功台设备做远程资料步(双机热备份)
Ø 磁盘快(Snapshot)功设定低容量提醒线容量增减等功
u 强壮系统稳定
Ø 支持双网卡网段传输(Multisubnet)备援(Failover)捆绑(Bonding)功提升网络传输效确保间断网络高速传输力
Ø 整合UPS电源理机制
Ø 热插拔容错系统风扇电源供应器确保系统正常运行停机
u 跨台安全机制
Ø 支持NISLDAPMicrosoft Active Directory密码验证
Ø 支持访问控制列表(ACL)存取控制
Ø 整合Microsoft Windows NT20002003域活动目录(ADS)理架构
Ø 支持Unix NISMicrosoft ADS动态目录服务
Ø 建FTP Server直接传载档案
Ø 提供数夹层级安全存取权限设定
Ø 提供文件文件夹享级权限理理更具弹性
Ø 户目录磁盘配额理
u 广泛系统支持
Ø 网络通讯协议支持DHCPTCPIPIPXAppleTalkFTPHTTPiSCSI
Ø 档案传输协议支持SMBCIFS(Microsoft)NFS (Unix)AFP (Apple)NCP (Novell)
Ø 客户端操作系统支持Windows 9xNT2K2K3XPSolarisHPUXAIXUnixLinuxNovell NetWareMacintosh OS等
u RAID5RAID6容量热扩充功线时扩充RAID存储容量
提供热扩充(HotExpansion)功时线时扩充RAID5RAID6存储容量项功必系统关机进行仅容量扩充更具弹性维持系统高性
举例说建立存储系统初存储需求仅需2TB系统中安装6400GB硬盘组成RAID5年该存储容量已够系统理员决定扩充1TB时仅需插入三400GB硬盘系统中两硬盘设定该RAID5群组该群组马拥32TB存储容量扩充容量程中系统然线保持运转完全必关机进行
热扩充功具列特色:
Ø 时插入硬盘进行容量扩充
Ø 扩充容量前需事先转移资料
Ø 档案系统中逻辑卷册时动态扩充需重新启动
Ø UNIXLinux环境中需重新设置挂载点存取权限
Ø Windows环境中需重新设置网络享硬盘享权限
u 全局热备份硬盘(Global HotSpare)
谓热备份硬盘指装置RAID存储系统中时做存储资料存资料RAID硬盘损坏时热备份硬盘会立取代受损坏硬盘系统通容错演算法备份硬盘重建资料系统资料存取工作中断系统提供热备份硬盘功效保证存放系统中资料完整性性
系统提供热备份硬盘提供系统中组RAID群组称全局热备份硬盘说系统中系统侦测组RAID15群组中硬盘发生损坏马热备份硬盘取代马进行RAID资料重建工作资料重建程中系统然提供资料存储服务会发生服务中断现象
u 整合UPS电源理机制
市面部分NAS产品标榜支持UPS仅提供连接UPS功系统身电源理提供UPS关监控理系统电源理机制完全整合UPS中通系统理界面便够轻松设定监控UPS系统避免预警电力招致中断
果市电发生中断情况系统会方式系统安全关机避免发生突然断电造成资料损毁情况发生时系统理员会收系统发出断电事件通知系统事件记录中查相关状况UPS整合电源理机制带项处:
Ø 市电中断时保护存放系统中资料
Ø 发生电源问题时时通知系统理员
Ø 采图形化操作理界面减轻理负担
u 快功
快功提供快速方便虚拟复制功关键数系统连续工作软件测试关键应等着重意义瞬时时间点数拷贝中型企业户高性求情况通量缩短备份窗口获量高端数处理力理员轻松点鼠标存储理员做:
Ø 建立逻辑卷册瞬间拷贝
Ø 动时间初始化
Ø 建立快拷贝增长策略
u 虚拟化逻辑卷理
虚拟化逻辑卷理特点允许台服务器直接连接存储空间户增加存储容量时候操作象虚拟存储池独立物理硬盘存储虚拟化产生扩展删移动者选择性提供存储需顾底层存储子系统简化存储供应减少系统理员理费直接影响总拥成
u iSCSI功
应支持iSCSI通iSCSI功轻松搭建IP SANiSCSI(互联网型计算机系统接口)种Internet协议网络特太网进行数块传输标准
u 高扩展性
外接磁盘单元扩充机存储空间支持>256颗硬盘750GB SATA硬盘支持>192TB容量
u 存储虚拟化
外接SCSI卡FC HBA卡(光纤通道卡)整合现SCSI磁盘系统FC磁盘系统通iSCSI方式提供机访问
u 重复文件动删功(Single Instance Storage)
SIS减少存放服务器重复数时找出相文件单份文件复储存存储空间指 SIS 享存储空间文件指针取代文件SIS 需者介入动工作系统理员采单分区单位启 SIS结果系统理员支持 SIS 备份应程序
SIS服务器磁盘保存份容相文件然应程序言存份相文件通须者介入动建立利SIS技术节省超 35 磁盘空间时减少存储空间理成
6 方案特色
u 专业防火墙确保外数交换安全
u 防火墙强P2P应识力流量理功保障关键应部门带宽
u 防病毒墙网络杀毒软件全局安全网络等软硬体系配合立体防范外攻击病毒入侵
u IPMAC端口帐号等元素绑定网实名理
u 全面ARP防御功造永掉线办公网络
u 接入交换机DHCP动态址绑定功造易维护信办公网
u 接入交换机安全访问控制(ACL)功遏制蠕虫病毒泛滥源头
u 交换机VLAN隔离技术保障部门通信安全
u 专家级流量监控控制
u 防火墙置入侵防御引擎全面阻挡网络黑客病毒入侵
u 全网图形化网提升单位网络理效率
u 成熟认证系统实现准确效身份认证保证接入公性
u 强扩展升级力保护现网络建设投资
u 安全服务器区域
u 稳定扩展性极高IPSAN存储系统
u 事先防范事定位快速恢复
7 建设计划资金预算
71 方案1—中低配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL160M
固化4GE口+1FE口支持Bypass功提供1模块化插槽支持4GE4SFP2GE
2SFP扩展扩展8千兆口
1
65000
65000
必备
网络杀毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
合计
145000
第二阶段
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
60000
60000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2126G
24口10100M交换机两扩展槽100M1000M光纤电口模块支持堆叠
10
7400
74000
必备
入侵检测系统
RGIDS500
百兆级IDS入侵检测系统2 101001000M RJ45接口2 10100M RJ45接口支持1路理3路监听
1
120000
120000
必备
合计
278000
第三阶段
专家级应控制引擎
应控制引擎
RGACE1000
千兆应控制引擎500Mbps处理力4千兆电口+1千兆理接口+1千兆HA接口(电口置Bypass功)
1
150000
150000
选
数中心
IPSAN
RGiS1000E
64位高速双核存储处理器2GB缓存4GE端口(扩展)12盘位支持SAS硬盘含理软件盘位扩展含NAS功模块通CIFSNFS提供跨台文件享服务
1
76000
76000
必备
RGiS1000EJ
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
60000
60000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
382000
总计
805000
72 方案2—中档配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL1600S
千兆防火墙VPN网关固化6GE口+2SFP口提供2模块化插槽支持8GE8SFP4GE4SFP扩展扩展24千兆口支持Bypass功配置冗余电源标准2U设备
1
130000
130000
必备
合计
130000
第二阶段
网络防病毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
防毒墙
方正熊猫安全网关 PAGD8100(TX)
防病毒反垃圾邮件容滤
1
150000
150000
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
55000
55000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2628G
24口10100M交换机2101001000端口2千兆SFP光口复1扩展槽千兆模块堆叠模块
10
9400
94000
必备
入侵检测系统
RGIDS1000
千兆IDS入侵检测系统2千兆RJ45接口2SFP插槽模块支持3路千兆监听
1
220000
220000
必备
合计
623000
第三阶段
专家级应控制引擎
应控制引擎
RGACE1000
1
150000
150000
选
数中心
IPSAN
RGiS1000E
64位高速双核存储处理器2GB缓存4GE端口(扩展)12盘位支持SAS硬盘含理软件盘位扩展含NAS功模块通CIFSNFS提供跨台文件享服务
1
76000
76000
必备
RGiS1000EJ
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
60000
60000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
382000
总计
1135000
73 方案3—中高配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL 1800
千兆中高端防火墙VPN网关固化4GE口+4SFP口提供1模块化插槽支持8GE8SFP4GE4SFP扩展支持2口万兆光模块电口支持Bypass功配置冗余电源标准2U设备
1
230000
230000
必备
合计
230000
第二阶段
网络防病毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
防毒墙
方正熊猫安全网关 PAGD8100(TX)
防病毒反垃圾邮件容滤
1
150000
150000
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
55000
55000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2628G
24口10100M交换机2101001000端口2千兆SFP光口复1扩展槽千兆模块堆叠模块
10
9400
94000
必备
入侵检测系统
RGIDS1000
千兆IDS入侵检测系统2千兆RJ45接口2SFP插槽模块支持3路千兆监听
1
220000
220000
必备
合计
623000
第三阶段
专家级应控制引擎
应控制引擎
RGACE2000
中端千兆应控制引擎2Gbps处理力2千兆SFP光口2千兆电口+1千兆理接口+1千兆HA接口(电口置Bypass功光口实现Bypass功需外配置RGACEOBS模块)
1
380000
380000
选
数中心
IPSAN
RGiS2000 V20
64位高速双核存储处理器2GB缓存6GE端口1SAS机接口12盘位支持SAS硬盘含理软件扩展
1
150000
150000
必备
RGiS2000J
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
110000
110000
RGiSNAS
NAS功模块通CIFSNFS提供跨台文件享服务含快镜复制重复数删功模块
1
48000
48000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
784000
总计
1637000
8 设备选型
81 防火墙RGWALL160M
RGWALL160M防火墙
811 产品特性
u 独立安全协议栈
采研发RGSecOS完整实现状态检测包滤应代理防火墙入侵检测防护IPSec VPN抗DDoS攻击深度容检测带宽理流量控制等综合安全网关功摆脱通操作系统束缚通操作系统漏洞动追通操作系统升级升级
u 强处理性
采快速流检测(FFDFast Flow Detect)引擎网络报文处理流程进行革命性改造优化关键处理程移硬件中断里实现流分类流交换产品采分段直接寻址安全规搜索算法(MSDALMultiStage Direct Addressing Lookup Algorithm)减少系统部务间切换存缓存理安全规匹配性消耗提升整系统处理性
u 完整网安全理
理员实时查网户线情况登录IP线时间流量连接数等详细信息网户网情况目然通独智隔离技术实时识出网络流量异常线户隔离防止病毒网传播
u 深度容检测
采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障
812 技术参数
技术参数
参数描述
产品名称型号
RGWALL 160M
物理特性
尺寸(长×宽×高)
标准19英寸宽度1U高度
重量
5kg
容错电源备份
100240V5060Hz
支持电源
单电源
工作温度
0~50℃
存储温度
20~70℃
存储湿度
5~95
系统性
固定接口
固化4GE口+1FE口支持Bypass功
模块插槽
提供1模块化插槽支持4GE4SFP2GE
2SFP扩展扩展8千兆口
安全策略数
65535
VLAN数量
4096
包延时
45µs
MTBF
≥100000时
操作模式
操作系统
RGSecOS
二层模式(透明模式)
支持
三层模式(路NAT模式)
支持
混合模式
支持
NAT(网络址转换)
支持
PAT(端口址转换)
支持
应代理
支持FTPHTPPPOP3SMTP预定义定义
VLAN路
支持
STPBPDU协议
支持
接口户数
限制
防火墙特性
攻击检测保护
支持
IPMAC绑定
支持
规时效属性
支持
预定义服务网络象
支持单服务服务组定义
URL滤
支持
关键字滤
支持
阻断URL列表导入
支持256URL
置防病毒
支持
Email址滤
支持
Email题滤
支持
Email容滤
支持
Email附件名滤
支持
Email附件滤
支持
FTP命令滤
支持
禁止线程载
支持(通连接限制设置)
P2P应控制
支持限制带宽控制
IM应控制
支持QQSkypeMSN
ActiveXJava appletJava script滤
支持
支持容滤协议种类
支持HTPPFTPPOP3SMTP
IPS规
支持1247条规
应代理
支持FTPHTPPPOP3SMTP预定义定义
动态端口协议检测
支持FTPPPTPRSTPSTPSQL NETTFTPMMSH323H323GK
集成实时检查
支持TCPUDPICMP连接实时监控
配置操作
支持CLISSHWEB
路特性
OSPF动态路
支持
RIP动态路
RIPv1v2均支持
静态路
支持
H323 over NAT
支持
策略路规路
支持
DHCP
支持DHCP ServerDHCP ClientDHCP中继
PPPoE
支持
VPN特性
VPN通道数
根需灵活配置
支持VPN类型
PPTPL2TPIPSecSSL VPN
加密算法
DES3DESAES
认证算法
SHA1MD5
完全传输安全标准(PFS)
支持
IPSec协议
支持
手工密钥IKE
支持
端认证
扩展认证支持
IPSec NAT穿越
支持
星型结构VPN
支持
动态VPN接入
支持
QoS支持
支持
连接期时间
支持
Replay protection
支持
流VPN设备协
支持Cisco华H3CJuniper等
系统理
理员数库
支持
限制性理网络
支持
理员分级
支持
软件升级
支持WEB命令行升级
配置更改
支持WEB命令行
认证方法
支持证书第三方证书电子钥匙
理方式
支持WEB命令行
简单配置导
支持
标准MIB私MIB
支持
SNMP
支持SNMPv1v2v3
集中理
支持
理
支持
远程理
支持
界面会话查询
支持
病毒库更新
支持
日志监控
部日志数库
支持
外部日志服务器
支持
远程系统日志服务器
支持
审计报告
支持
实时统计
支持
日志级
支持
日志备份
支持
状态显示
支持
日志高调试信息印终端
支持
报警方式
支持
高性
HA模式
支持路模式透明模式HA
切换条件
防火墙断电物理链路断线
配置文件变化步
支持配置状态步
HA设备认证
支持(单台防火墙雷)
HA数加密
支持(单台防火墙雷)
状态切换时间
1秒
流量整形QoS
接口优先级队列
支持带宽控制优先级选择
限制带宽
支持
保证带宽
支持
带宽控制粒度
低带宽控制50Kbps
数流定义
支持
服务器负载均衡
支持
82 防火墙RGWALL1600S
821 产品概述
RGWALL1600S面型园区网出口户开发新代电信级高性防火墙设备RGWALL1600S采新硬件台体系架构实现防火墙性跨越式突破支持数十GE接口广泛应教育政府金融医疗军队医疗等行业千兆网络环境配合锐捷网络交换机路器产品户提供完整端端解决方案型网络出口策略区域间安全互联理想选择
RGWALL1600S防火墙采锐捷网络开发RGSecOS独创分类算法高速性受策略数会话数少影响产品安装前丝毫会影响网络速度时RGWAL1600E核层处理数包接收分类转发工作会成网络流量瓶颈外RGWALL具入侵监测功判断攻击提供解决措施入侵监测功会影响防火墙性
RGWALL1600S支持深度状态检测外部攻击防范网安全流量监控邮件滤网页滤应层滤等功够效保证网络安全提供种智分析理手段支持邮件告警支持种日志提供网络理监控协助网络理员完成网络安全理支持PPTPL2TPIPSecSSL等种全面VPN业务构建种形式VPN提供强路力支持静态RIPOSPF路策略策略路支持双机状态热备支持ActiveActiveActiveStandby两种工作模式丰富QoS特性充分满足客户网络高性求
RGWALL1600S防火墙支持模块:
Ø 4千兆电口光口模块
Ø 8口千兆电口光口模块
822 产品特性
独立安全协议栈
RGWALL1600S防火墙采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障
采先进硬件台
通核系统实现数流量调度极提高设备处理性满足户高性安全设备处理力需求
深度状态检测
RGWALL1600S防火墙采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障支持时间段进行滤支持连接状态信息维护监测动态滤数包支持FTPHTTPSMTPRTSPH323等应层协议状态监控
强处理力
RGWALL1600S防火墙采快速流检测(FFDFast Flow Detect)引擎网络报文处理流程进行革命性改造优化关键处理程移硬件中断里实现流分类流交换产品采分段直接寻址安全规搜索算法(MSDALMultiStage Direct Addressing Lookup Algorithm)减少系统部务间切换存缓存理安全规匹配性消耗提升整系统处理性支持静态网段双转换等种形式NAT提供源基目策略路支持高速处理性基受策略条目发连接数目影响
支持全面网络攻击防护
支持CCSYN floodDNS Query Flood等DoSDDoS攻击防护支持MACIP绑定功支持智防范蠕虫病毒技术TCP报文标志位合法攻击防范超ICMP报文攻击防范等等网络攻击防护
完善日志理审计
提供种日志功流量统计分析功种事件监控统计功邮件告警功配合日志理系统完成日志记录查询分析
独立VPN模块
置专硬件VPN模块支持PPTPL2TPIPSecSSL VPN等种VPN业务模式
支持高性
支持双机状态热备功支持ActiveActiveActivePassive两种工作模式实现负载分担业务备份设备关键部件均采冗余设计
823 技术参数
技术参数
参数描述
产品名称型号
RGWALL1600S
物理特性
尺寸(长×宽×高)
标准19英寸宽度2U高度
容错电源备份
双电源冗余备份
电源
AC 100240V5060Hz400W
工作温度
0~50℃
存储温度
20~70℃
存储湿度
5~95
系统性
产品架构
x86核
接口
固化6GE口+2SFP口
模块插槽
提供2模块化插槽支持8GE8SFP4GE4SFP扩展
发连接数
200万
安全策略数
65535
VLAN数量
4096
包延时
40μs
MTBF
≥100000时
操作模式
操作系统
RGSecOS
二层模式(透明模式)
支持
三层模式(路NAT模式)
支持
混合模式
支持
NAT(网络址转换)
支持
PAT(端口址转换)
支持
应代理
支持FTPHTPPPOP3SMTP预定义定义
VLAN路
支持
STPBPDU协议
支持
接口户数
限制
防火墙特性
攻击检测保护
支持
IPMAC绑定
支持
规时效属性
支持
预定义服务网络象
支持单服务服务组定义
URL滤
支持
阻断URL列表导入
支持256URL
置防病毒
支持
Email址滤
支持
Email题滤
支持
Email容滤
支持
Email附件名滤
支持
Email附件滤
支持
FTP命令滤
支持
禁止线程载
支持(通连接限制设置)
P2P应控制
支持限制带宽控制
IM应控制
支持QQSkypeMSN
ActiveXJava appletJava script滤
支持
支持容滤协议种类
支持HTPPFTPPOP3SMTP
IPS规
支持1247条规
应代理
支持FTPHTPPPOP3SMTP预定义定义
动态端口协议检测
支持FTPPPTPRSTPSTPSQL NETTFTPMMSH323H323GK
集成实时检查
支持TCPUDPICMP连接实时监控
配置操作
支持CLISSHWEB
路特性
OSPF动态路
支持
RIP动态路
RIPv1v2均支持
静态路
支持
H323 over NAT
支持
策略路规路
支持
DHCP
支持DHCP ServerDHCP ClientDHCP中继
PPPoE
支持
VPN特性
VPN通道数
根需灵活配置
支持VPN类型
PPTPL2TPIPSecSSL VPN
加密算法
DES3DESAES
认证算法
SHA1MD5
完全传输安全标准(PFS)
支持
IPSec协议
支持
手工密钥IKE
支持
端认证
扩展认证支持
IPSec NAT穿越
支持
星型结构VPN
支持
动态VPN接入
支持
QoS支持
支持
连接期时间
支持
Replay protection
支持
流VPN设备协
支持Cisco华H3CJuniper等
系统理
理员数库
支持
限制性理网络
支持
理员分级
支持
软件升级
支持WEB命令行升级
配置更改
支持WEB命令行
认证方法
支持证书第三方证书电子钥匙
理方式
支持WEB命令行
简单配置导
支持
标准MIB私MIB
支持
SNMP
支持SNMPv1v2v3
集中理
支持
理
支持
远程理
支持
界面会话查询
支持
病毒库更新
支持
日志监控
部日志数库
支持
外部日志服务器
支持
远程系统日志服务器
支持
审计报告
支持
实时统计
支持
日志级
支持
日志备份
支持
状态显示
支持
日志高调试信息印终端
支持
报警方式
支持
高性
HA模式
支持路模式透明模式HA
切换条件
防火墙断电物理链路断线
配置文件变化步
支持配置状态步
HA设备认证
支持(单台防火墙雷)
HA数加密
支持(单台防火墙雷)
状态切换时间
1秒
流量整形QoS
接口优先级队列
支持带宽控制优先级选择
限制带宽
支持
保证带宽
支持
带宽控制粒度
低带宽控制50Kbps
数流定义
支持
服务器负载均衡
支持
824 扩展模块
产品订购信息
型号
描述
RGWALL1600S
千兆低端防火墙VPN网关固化6GE口+2SFP口提供2模块化插槽支持8GE8SFP4GE4SFP扩展扩展24千兆口支持Bypass功配置冗余电源标准2U设备
RGWALL 1600MIM4GBE
4口千兆电模块
RGWALL 1600MIM4GEF
4口SFP光模块
RGWALL 1600MIM8GBE
8口千兆电模块
RGWALL 1600MIM8GEF
8口SFP光模块
产品订购信息
型号
描述
RGWALL VPN UPG200
RGWALL VPN 许升级VPN隧道数200
RGWALL VPN UPG500
RGWALL VPN 许升级VPN隧道数500
RGWALL VPN UPG1000
RGWALL VPN 许升级VPN隧道数1000
RGWALL VPN UPG2000
RGWALL VPN 许升级VPN隧道数2000
RGWALL VPN UPG5000
RGWALL VPN 许升级VPN隧道数5000
产品订购信息
型号
描述
RGWALL VPN Client20
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量20
RGWALL VPN Client50
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量50
RGWALL VPN Client200
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量200
83 RGS2126G安全智交换机
831 产品概述
STARS2126G全线速堆叠安全智交换机提供智流分类完善服务质量(QoS)组播应理特性时根网络实际环境实施灵活样安全控制策略效防止控制病毒传播网络攻击控制非法户网络保证合法户合理网络资源充分保障网络安全网络合理化运营
STARS2126G通SNMPTelnetWebConsole口等种配置方式提供丰富理S2126G极高性价类型网络提供完善端端QoS服务质量灵活丰富安全策略理基策略网化满足高速安全智企业网新需求
832 产品特性
u 高性
Ø 高背板带宽端口提供线速交换力
u 灵活完备安全控制策略
Ø 通锐捷网络全局安全解决方案GSN结合安全策略方面户提供全新立体三维技术特性解决方案完全解安全威胁攻击欺骗病毒侵害等危害
Ø 通种安全机制效防止控制病毒传播网络流量攻击控制非法户网络保证合法户合理化网络端口安全端口隔离专家级ACL时间ACL端口ARP报文合法性检查基数流带宽限速六元素绑定等满足企业网网络加强访问者进行控制限制非授权户通信需求
Ø 硬件实现端口MAC址户IP址灵活绑定严格限定端口户接入
Ø 保护端口必占VLAN资源非常方便隔离户间信息互通充分保护户隐私
Ø 通安全计费理台SAM仅实现户账号MAC址IP址交换机IP交换机端口等六元素间灵活意绑定效确认户身份合法性唯性更通交换机特色硬件动态绑定保障户身份始终致性避免户恶意篡改身份信息进行非法攻击等行
Ø 专硬件防范ARP网关ARP机欺骗功效遏制网络中日益泛滥ARP网关欺骗ARP机欺骗现象保障户正常网
Ø 支持DHCP Relay更支持DHCP Option 82方便实现IP址精确分配控制支持DHCP Snooping效防范动静态分配IP址环境ARP欺骗问题
Ø 提供极效Port Blocking功避免阻止端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户PC更高效安全运行
Ø 基源IP址控制TelnetWeb设备访问控制避免非法员黑客恶意攻击控制设备增强设备网安全性
Ø SSH(Secure Shell)SNMPv3技术通TelnetSNMP进程中加密理信息保证理设备信息安全性防止黑客攻击控制设备
Ø 种类型硬件ACL控制灵活控制二-七层数报文户PC应报文通网络效控制充分保障网络安全合理化
u 完善QoS策略
Ø 支持8021PDSCP端口优先级IP TOS二七层流滤等QoS策略具备MAC流IP流应流等层流分类流控制力实现带宽控制转发优先级等种流策略支持网络根应应需服务质量提供服务
Ø 极灵活带宽控制力基交换机端口MAC址IP址VLAN ID协议应组合进行灵活带宽限速限速粒度精细:1Mbps(128KB)粒度百兆端口8Mbps(1024KB)粒度千兆端口根网络安全需求设定业务应带宽流量满足网络带宽需
u 丰富组播特性
Ø 支持业界特IGMP源端口检查效杜绝非法组播源播放量占量网络带宽提高网络安全性
Ø 支持识IGMPv1v2IGMPv3全部版组播报文适应组播环境避免非法组播数流占网络带宽满足组播安全应需
u 高性
Ø 支持生成树协议8021D8021w8021s完全保证链路快速收敛提高容错力保证网络稳定运行链路负载均衡网络通道合理化提供冗余链路利率
Ø 支持端口环路检测快速检测端口联出现环路情况动环路端口关闭定时启动保障网络
u 方便易易理
Ø 强菊花链式堆叠支持S2126GS2150G混合堆叠保证网络高度灵活扩展网络理更加简单
Ø 提供图形化安全策略理台支持安全策略动步发升级维护功安全策略智化幅度提高交换机理配置效率提高网络安全
Ø 实施种安全措施基础S21根网络理灵活性特殊性需网络特殊户设备方便理开启安全通道实现安全灵活兼网络理理念
Ø 端口VLAN动跳转功需网员手工干预端口跳转户VLAN实现户全网漫游网减轻设备配置维护量
Ø 端口步监控通端口时监控端口数流监控输入帧监控输出帧双帧提高维护效率
Ø 简单网络时间协议(SNTP)保证交换机时间准确性网络中时间服务器时间统化方便日志信息流量信息分析障诊断
Ø Syslog方便种日志信息统收集维护分析障定位备份便理员进行网络维护理
Ø 独特集群理通台命令交换机理达20台S21系列交换机交换机否配线间布线室
Ø 强集群理方式网络维护工作变非常方便简单需配置1IP址理台设备仅成倍节省IP址空间维护理量极降低
Ø CLI界面方便高级户配置
Ø Javabased Web理方式实现交换机视化图形理快速高效配置设备
833 技术参数
产品型号
STARS2126G
固定端口
24端口10100适应
模块插槽
2扩展插槽
模块
单口1000BASESX模块
单口1000BASELX模块
单口1000BASETX模块(支持101001000M适应)
单口100BASEFX模块
单口100BASEFX单模模块
单口100BASETX模块
堆叠模块
背板带宽
128Gbps
包转发速率
线速(66 Mpps)
8021q VLAN
4K
ACL
标准IP ACL(基IP址硬件ACL)
扩展IP ACL(基IP址传输层端口号硬件ACL)
MAC扩展ACL(基源MAC址目MAC址选太网类型硬件ACL)
基时间ACL
专家级ACL(时基VLAN号太网类型MAC址IP址TCPUDP端口号协议类型时间灵活组合硬件ACL)
ACL 80
L2协议
IEEE8023IEEE8023uIEEE8023z IEEE8023xIEEE8023adIEEE8021pIEEE8021xIEEE8023abIEEE8021Q(GVRP)IEEE8021dIEEE8021wIEEE8021sIGMP Snooping v1v2v3
理协议
SNMPv1v2Cv3Web(JAVA)CLI(TelnetConsole)RMON(1239)集群SSHSyslogSNTP
协议
BOOTPDHCP RelayDNS Client
尺寸(长× 宽× 高)
440 × 240 ×44mm
电源
160VAC~240VAC48Hz~60Hz
温度
工作温度: 0℃ 45℃
存储温度:40ºC 70ºC
湿度
工作湿度: 10 90 RH
存储湿度: 5 90 RH
84 防病毒安全套装 PESA40
方正熊猫企业级防病毒安全套装( PESA )高性稳定防病毒解决方案方便网络中计算机保护配置更新计算机包括:工作站文件服务器ExchangeDomino邮件服务器SMTP网关边界服务器仅抵御病毒蠕虫特洛木马防护新英特网攻击垃圾邮件间谍程序拨号器黑客工具恶作剧针系统漏洞提供保护阻止安全险
方正熊猫企业级防病毒安全套装( PESA )具间断保护功少天次已作更新动分发网络中采户透明新机制结果提高产品质量理员集中精力工作中
841 PESA特性
保护电子邮件通讯保护接收发送电子邮件通讯安全免受病毒感染
保护整网络边界保护网络英特网间连接
抵挡类型英特网攻击包括新瘦客户端桌面保护
通新中央理工具AdminSecure台计算机进行整网络集中理
非常适窄带宽网络瘦客户端AdminSecure种类型网络特设计
通命令方式防病毒程序CommandlineSecure集成Linux提供防病毒保护
预计量传播感染攻击信息通预先提示信息系统发布新详细相关信息
日动更新抵挡新病毒
提供365天24时电话技术支持专家通电话电子邮件时处理您问题
842 模块介绍
1)理工具: Panda AdminSecure
2)工 作 站: Panda ClientShield (Windows全系列)
3)文件服务器:Panda FileSecure (Win32Novell)
4)邮件服务器:Panda ExchangeSecure
5)邮件服务器:Panda DominoSecure
6)LinuxSMTP网关:(SendmailSecure QmailSecurePostfixSecure)
7)兼容CVP防护:Panda CVPSecure
8)网关防护:Panda ProxySecure Panda ISASecure
85 入侵检测系统RGIDS500
851 产品概述
入侵检测系统旁路方式网络中部署实时检测数包中发现攻击行疑行求RGIDS攻击行检测极高准确性错误攻击行检测攻击行身带危害巨保证准确性RGIDS种攻击识检测技术技术中种固优势弱点说明什没种单入侵检测技术够达户接受防护效果
RGIDS 采层分布式体系结构五部分程序组件组成:控制台EC(事件收集器)LogServer(数服务器)Sensor(传感器)报表查询工具
RGIDS 500具备完整入侵检测理功完全适需时监控百兆网络环境支持3百兆监听口1U硬件
RGIDS网络中够阻止外部部蠕虫病毒攻击带安全威胁确保企业信息资产安全够检测种IM时通讯软件P2P载等网络资源滥行保证重业务正常运转够高效全面事件统计分析迅速定位网络障提高网络稳定运行时间
结合锐捷网络网络产品网络安全产品便容易构建整体全方位安全理体系方面集中理整网络访问控制策略监测阻止网络中种疑行收集网络中设备安全事件数进行标准化集中进行关联智分析方便户量安全时间中快速准确定位威胁方面结合漏洞扫描您提前确定系统否存已知漏洞做防范未然建立实时动仅仅响应式整体网络安全防御体系
852 产品特性
ü 领先检测技术
RGIDS采基状态应层协议分析技术状态协议分析技术基已知协议结构解通分析数包结构连接状态检测疑连接事件极提高检测效率准确性仅准确识已知攻击识未知攻击采IDS躲避技术攻击手段彻底失效利协议分析已知通信协议处理数帧连接时更加迅速效准确减少误报性
够关联数包前容孤立数包进行检测普通IDS检测数包着质区具判通信行真实意图力会受URL编码干扰信息IP分片等入侵检测系统规避技术影响
ü 高性
RGIDS采高效入侵检测引擎综合虚拟机解释器进程线程技术配合专门设计高性硬件专台够实时处理高达两千兆网络流量
ü 行描述代码
户非常方便司提供行描述代码行创建符合企业求新特征签名扩检测范围性化入侵检测系统
ü 分布式结构
RGIDS采先进层分布式体系结构包括控制台事件收集器传感器种结构够更保证整系统生存性性带更灵活性更伸缩性适应种规模企业网络安全理需
ü 全面检测力
l 支持预攻击探测行检测
l 支持口令猜测行检测
l 支持Windows系统漏洞攻击检测
l 支持Unix系统攻击检测
l 支持洛伊木马活动检测
l 支持蠕虫病毒传播检测
l 支持拒绝服务攻击检测
l 支持CGIWWW 攻击检测
l 支持缓区溢出攻击检测
l 支持非法访问行检测
l 支持常见P2P软件活动检测
l OS FingerPrint识力
l FTPWWWSMTPSMBNNTPNDMPSIP等常见协议兼容性检测
l 支持户定义网络连接事件检测
l 支持户定义签名检测
ü 高性
RGIDS软件硬件紧密结合体化专硬件设备硬件台采严格设计工艺标准保证高性独特硬件体系结构提升处理力吞吐量操作系统优化安全性处理保证系统安全性抗毁性
ü 高性
RGIDS组件支持HA冗余配置保证提供间断服务
ü 隐秘部署
RGIDS支持安全部署模式隐秘配置
ü 灵活响应
RGIDS提供丰富响应方式:控制台发出警告发提示性电子邮件网络理台发出SNMP消息动终止攻击重新配置防火墙执行户定义响应程序等
ü 低误报率
RGIDS采基状态应层协议分析技术时允许户灵活调节签名参数创建新签名降低误报率提高检测准确性
ü 简单易
RGIDS安装简单升级方便查询灵活生成适合级理者意需种格式报告
853 技术参数
物理特性
理接口
1*10100BaseTX
监控接口
1*10100BaseTX + 1*101001000BaseTX
扩展接口
NA
产品形态
1U机架
冗余电源
NA
尺寸 (cm)
44*43*44
重量 (kg)
10
安全策略
秒数流量
400Mbps
秒抓包数
480000pps
秒监控新建TCP连接数
28000
秒监控新建HTTP连接数
18000
监控TCP发连接数
1500000
监控HTTP发连接数
750000
工作环境
工作电压
100–240 AC
电源频率
50–60 Hz
工作电流
6A
工作温度
10 to 35ºC (50 to 95ºF)
存储温度
–40 to 65ºC (–40 to 149ºF)
相工作湿度
8 to 80(冷凝)
相存储湿度
5 to 95(冷凝)
功率
250W
86 RGSMP安全网络理台
861 产品概述
RGSMP安全理台软件系统锐捷网络GSN全局安全网络解决方案核心组成部分GSN全局安全网络解决方案定位网络访问控制NAC领域网络接入者身份接入机健康性网络通信安全性等方面户构建全局安全网络RGSMP安全理台软件作GSN解决方案核心承载着三方面重功
RGSMP安全理台配合锐捷网络安全智交换机根户需求采接入层认证汇聚层认证方式部署实施校园宿舍网办公网企业金融政府医疗等行业办公网等局域网环境实现户身份机健康性网络通信安全性等方面理
862 产品特征
8621 身份认证功
Ø 基8021X协议身份认证体系
Ø 基户身份网络访问权限控制体系
Ø 基包括户名密码IP址MAC址认证交换机IP认证交换机端口号等6元素灵活绑定保障户身份正确性
Ø 户短消息修复程序动发功
Ø 户线日志功
Ø 户黑名单功
*身份认证相关功需配合锐捷网络支持8021X认证交换机客户端RGSU完成
8622 机端点防护功
Ø Windows补丁强制更新功(需配合微软WSUS服务器)
Ø 杀毒软件联动功(需配合应杀毒软件)
Ø 户端软件安装黑白名单功
Ø 户端注册表关键键值检测修复功
Ø 户端台服务检测修复功
Ø 户端进程检测强制开启关闭功
Ø 户端软硬件情况收集统计功
Ø 违规户动隔离功
*机端点防护相关功需配合锐捷网络支持8021X认证交换机客户端RGSU完成
8623 网络通信保护功
Ø 业界流IDS产品联动功
Ø ARP攻击三重立体防御功
Ø 基网络攻击动隔离阻断功
Ø 攻击日志报表理功
*IDS联动功需配合锐捷网络入侵检测设备合作品牌入侵检测设备RGSEP安全事件解析器进行
*ARP欺骗三重立体防御功需配合锐捷网络安全智三层交换设备安全智客户端RGSU完成
— END —
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
XXXXXX调查规划院
信 息 安 全
建
设
方
案
(V16)
成XXX限公司
Chengdu XXXX Information Technoloy Co Ltd
二OO八年十月
文 档 状 态
文件状态
[ ]草稿文件
[ ]正式文件
[√]更改正式文件
文 件
标 识
LGYITS
前
版
V16
作 者
完 成
日 期
20081222
修订历史记录
日期
版
说明
作者
2008113
V10
根实际需求进步发展描述完成方案草案
2008114
V11
方案中问题进行修订完善
2008115
V13
方案中问题进行修订
提出三套档次解决方案
DMZ区设计进行修订
2008116
V14
三套方案产品预算进行调整
2008116
V15
第套方案二阶段进行调整
完善现设备分析
20081120
V16
完成产品介绍容
目 录
1 信息系统安全体系现状概述 1
11 现状概述 1
12 现状分析 1
13 拓扑结构说明 2
2 安全威胁分析 6
21 外部威胁分析 6
22 部威胁分析 6
23 总体威胁分析 7
3 总体需求容 8
4 网络信息安全体系总体方案 9
41 设计原 9
42 总体方案 9
5 详细设计 10
51 拓扑结构调整 10
52 出口安全设计 10
53 网络防病毒 11
531 容安全网关(防毒墙) 11
532 企业级网络版防病毒软件 11
54 构建全局安全网络体系 12
541 概述 12
542 IP址规划 13
543 VLAN规划 14
544 常见网络危害病毒防范设计 15
545 常见网络攻击防范设计 18
5451 MAC攻击 18
5452 DHCP攻击 18
5453 ARP攻击 19
5454 IPMAC攻击 20
5455 STP攻击 20
5456 DosDdos攻击 21
5457 IP扫描攻击 21
5458 网络设备理安全 21
546 全局安全网络(GSN)方案设计 22
5461 安全挑战 22
5462 理挑战 22
5463 方案详细介绍 22
5464 安全特性 23
5465 理特性 24
5466 详细功 24
5467 交换设备升级 26
55 应扩展安全体系建设 26
551 总体方案 26
552 服务器DMZ区 27
553 入侵检测系统(IDS) 27
554 应控制引擎 28
555 数中心构建 31
6 方案特色 37
7 建设计划资金预算 38
71 方案1—中低配置方案 38
72 方案2—中档配置方案 40
73 方案3—中高配置方案 42
8 设备选型 44
81 防火墙RGWALL160M 44
811 产品特性 44
812 技术参数 45
82 防火墙RGWALL1600S 48
821 产品概述 48
822 产品特性 49
823 技术参数 51
824 扩展模块 54
83 RGS2126G安全智交换机 55
831 产品概述 55
832 产品特性 55
833 技术参数 58
84 防病毒安全套装 PESA40 59
841 PESA特性 60
842 模块介绍 60
85 入侵检测系统RGIDS500 61
851 产品概述 61
852 产品特性 62
853 技术参数 64
86 RGSMP安全网络理台 64
861 产品概述 64
862 产品特征 65
8621 身份认证功 65
8622 机端点防护功 65
8623 网络通信保护功 66
1 信息系统安全体系现状概述
11 现状概述
单位计算机网络信息系统建设初仔细规划结构合理运行维护方便建设初期网络系统应系统均相简单信息系统安全重性未体现出应限部局域中外网访问普通网信息服务信息系统安全措施技术手段相较少
着IT技术飞速发展种应断丰富国家金字号工程建设电子商务电子政务断深入单位网络规模断扩应断增加陆续扩网络规模增加种业务系统网络信息系统频率巨增提供外资源服务增加病毒感染网络入侵等危险原设计实施网络信息系统安全技术手段相关设备措施已远远满足现单位网络信息系统安全需迫切需解决信息系统安全问题构建全局安全网络立体信息安全体系
12 现状分析
网络规模断扩应断复杂频率断增单位网络已变复杂难理存着极信息安全风险
现网络结构图示:
13 拓扑结构说明
网络通Quidway AR 2880模块化路器接入Internet带宽10M
Quidway AR 2880功性:
Quidway AR284080模块化中心路器华AR系列路器中面运营商企业户网络产品采32位微处理器技术VRP(通路台)提供极丰富软件特性支持哑终端接入服务器金融POS接入功 支持SNADLSwVoIP特性等提供丰富备份方案QoS特性硬件采模块化结构具更高处理力更接入密度采华公司VRP网络操作系统台支持更功特性适合型网络中担汇聚层路器中型企业网中担核心路器
特点:
Ø 采VRP操作台
Ø 提供VPN解决方案
Ø 提供定网络安全功
Ø 支持种互连协议
Ø 支持丰富网络协议
Ø 支持应层协议业务特性
Ø 支持QoS
Ø 处理器 MPC8245 300MHz
Ø 转发性 110120KPPS
Ø NVRAM 128KB
Ø FLASH 32MB
Ø SDRAM 缺省:128MB :256MB
采华S5510核心交换机采10M链路路器连接接入层交换机采100M连接
S5510功性:
产品类型
企业级三层网型交换机太网型
传输方式
存储转发方式
背板带宽
48Gbps
包转发率
3571Mpps
外形尺寸
440×360×436mm
重量
5Kg
接口类型
101001000BASET端口
接口数目
24口
传输速率
10M100M1000Mbps
模块化插槽数
4
理端口
1Console端口
堆叠
堆叠
支持网络标准
80238023uIEEE 8023xIEEE 8021DIEEE 8021Q
VLAN支持
支持支持端口VLAN(4094)
端口聚合
支持支持FE(Fast Ethernet)端口聚合支持GE(Gigabit Ethernet)端口聚合支持LACP(Link Aggregation Control Protocol链路聚合控制协议)
网功
支持支持命令行接口(CLI)配置支持Telnet远程配置支持通Console口配置支持SNMP(Simple Network Management Protocol)V1V2cV3支持WEB网
否支持全双工
支持
MAC址表
12K
性
支持交流电源输入直流电源输入
采Quidway S2000Quidway S2100作接入交换机桌面连接100M
Quidway S2000功性:
项目
S2008EI
S2016EI
S2403HEI
固定端口
810100M太网电口
1Console口
1610100M太网电口
1Console口
2510100M太网电口
1Console口
扩展槽位数量
1
1
扩展接口模块种类
100BaseFX模模块100BaseFX单模模块100BaseFX单模中距模块百兆远程受电接口模块
100BaseFX模模块100BaseFX单模模块100BaseFX单模中距模块
线速二层交换
端口支持线速转发
包转发率:S2008EI119MppsS2016EI253MppsS2403HEI387Mpps
交换模式
存储转发模式
VLAN
支持符合IEEE 8021Q标准VLAN支持512VLAN
支持基端口VLAN
支持GVRP
组播
GMRP
IGMP Snooping
生成树协议
支持STPRSTPMSTP
端口汇聚
支持4812组端口汇聚端口汇聚组8端口
广播风暴抑制
端口支持基带宽百分广播风暴抑制
端口镜
支持端口镜镜端口镜端口数量没限制
MAC址表
址学
IEEE 8021D标准
支持4KMAC址
流控
支持IEEE 8023x 流控(全双工)
支持背压式流控(半双工)
加载升级
支持XModem协议实现加载升级
支持FTPTFTP加载升级
理
支持命令行接口配置
支持Telnet远程配置
支持通Console口配置
支持SNMP
支持RMON 1239组MIB
支持iManager N2000 DMS网系统
支持HGMP V2集群理
支持系统日志
支持分级告警
维护
支持调试信息输出
支持PINGTracert
支持Telnet远程维护
QoS
支持DSCP优先级8021p优先级
支持端口出方入方报文双端口限速带宽分配支持64Kbps精细粒度
支持WRRHQ+WRR队列调度算法
支持流量统计
安全特性
支持MAC址端口绑定
支持端口锁定
属8021Q VLAN端口间设置隔离互通
户分级理口令保护
支持基端口基MAC8021X认证
远程受电
S2016EI直流机型支持远程受电满足8023af标准
外形尺寸(W╳D╳H)
216mm x 40mm x 117mm
436mm x 42mm x 200mm
436mm x 42mm x 240mm
重量
<2kg
≤3kg
≤3kg
电源
采外置电源供电外置电源输入电压输出电压:
输入额定电压范围:100240V ac 5060Hz
输入电压范围:90264V ac 5060Hz
输出电压:12V dc
输出电流:1A
AC:
额定电压范围:100240V ac 5060Hz
电压范围:90264V ac 5060Hz
DC:
额定电压范围:48 60V dc
电压范围:36 72V dc
功耗
8W
12W
15W
工作环境温度
0~45℃
工作环境湿度
10~90 (凝结)
拓扑结构总体带宽已满足现需求进步发展求交换设备特接入层设备支持千兆扩展安全性组播力IPV6支持等均显足应考虑升级
核心交换机划分VLAN定程度方便理定程度抑制广播风暴
网络总体病毒攻击等安全威胁防范力措施足现需求进步发展需求必须加强
基网络应越越复杂网络越越频繁情况加者计算机应力参差齐行难规范单位网络常面ARP蠕虫木马等病毒攻击众威胁必须仔细分析基础部署安全设备措施防病毒外威胁网络信息系统造成威胁进行户行理流量控制时必须考虑单位公众提供资源服务应安全
2 安全威胁分析
通现状分析单位网络安全正遭受着Internet网量威胁解决网络安全数信息安全流量控制服务质量保证病毒攻击防范等必须针单位网络安全威胁进行全面分析
21 外部威胁分析
单位网络通电信10M出口直接接入Internet现部署1台路器没部署防火墙设备私IP应NAT外网基完全暴露Internet面巨威胁
Internet资源样性户复杂性存插件威胁软件采密灌技术网站流氓网站流氓软件等网络户知情情况便感染病毒受攻击安全威胁必须采相应技术手段设备防止类威胁单位网络信息系统影响时单位网络接入Internet外黑客攻击间谍软件提供入侵机会类威胁业务系统关键数造成巨威胁必须严加防范
22 部威胁分析
单位网络户达400安全意识技术水等参差齐网络信息系统安全带极威胁包括点:
(1) 求私U盘等移动存储设备病毒等威胁网进行传播
(2) 擅访问威胁网站载插件网络造成安全威胁
(3) 擅访问病毒流氓软件网站网络资源网络造成安全威胁
(4) 擅安装聊天游戏电影P2P等应软件带病毒等安全威胁
(5) 擅访问载害资源
(6) 擅P2P载软件线视频等量消耗网络带宽
(7) MAC攻击:占满交换机MAC址表
(8) DHCP攻击:户法正常分配IP址
(9) ARP攻击:法正常网通讯中断流量消耗
(10) STP攻击:导致网络瘫痪
(11) DOSDDOS攻击:占网络带宽占服务器提供服务资源
分析部威胁单位网络带危害丝毫外网定程度更频繁破坏更严重必须加强理
23 总体威胁分析
序号
源
容
原
风险级
1
Internet
病毒蠕虫木马
知情情况网络传播
普通
2
Internet
黑客间谍软件
恶意
普通
3
部行
病毒蠕虫木马
移动存储设备
极高
4
部行
黑客间谍软件
恶意
低
5
部行
病毒蠕虫木马
收发邮件
极高
6
部行
病毒蠕虫木马
访问非安全网站
极高
7
部行
病毒蠕虫木马
私安装软件
极高
8
部行
黑客间谍软件
聊天软件
极高
9
部行
带宽资源消耗
P2P电影
高
10
外
MAC攻击
病毒恶意
高
11
外
ARP攻击
病毒恶意
极高
12
外
DHCP攻击
病毒恶意
高
13
外
STP攻击
病毒恶意
高
14
外
DOSDDOS攻击
病毒恶意
高
15
外
应数窃取破坏
病毒木马恶意
极高
通分析单位网络信息系统面安全威胁影响极外网威胁素进行监控防范时必须部行造成威胁进行严格控制理必须源头遏制住病毒蠕虫木马恶意网络恶意攻击等威胁单位网络信息系统造成影响
3 总体需求容
根分析总结提出应需求:
Ø 需部署防火墙保证外数交换安全
Ø 局域网布置防病毒攻击
Ø 终端计算机理方案(端口IP址机器码绑定理)
Ø 流量监控控制
Ø 未涉公众提供外资源服务数交换量较需包含外资源服务建设规划
通应需求安全威胁分析提出信息安全体系建设总体需求容:
ü 改造网络出口部署防火墙保证数交换安全
ü 网络干实施千兆拓展构建万兆核心千兆骨干百兆(千兆)桌面高速网络
ü 部署防毒墙网络版杀毒软件效防止病毒恶意软件传播感染
ü 加强网行理通软硬体系构建全局安全网络统威胁理
ü 实现网实名制网网户进行身份认证
ü 实现终端设备IP址MAC址交换机端口绑定效防范ARP欺骗ARP病毒攻击
ü 实现基应策略流量监控控制
ü 提供外资源服务时构建服务器DMZ区部署入侵检测系统建设数中心确保数安全
4 网络信息安全体系总体方案
41 设计原
方案原设计实施:
² 软硬结合技术手段理制度结合
² 重软硬件时必须强调安全意识培养强化网络信息系统安全问题必须提高政治高度
² 外兼顾重外威胁防范时强调部威胁理部威胁源严防死守
² 立足现状预见未解决目前问题时必须效预见会安全威胁
² 事先防范事定位快速恢复威胁变危害前加防范旦出现危害应快速找出原分析判断障快速恢复
42 总体方案
针单位网络安全受威胁分析必须提出行效解决方案包括容:
(1) 物理拓扑结构改造优化
(2) 科学合理IP址规划优化
(3) 实施出口安全实施
(4) 实施防病毒软硬方案
(5) 构建全局安全网络体系
(6) 确保服务器数库安全建设数中心部署容灾容错备份系统
(7) 实施运行保障体系
5 详细设计
51 拓扑结构调整
52 出口安全设计
应部署专业防火墙设备
出口防火墙应具备扩展状态检测功防范入侵(URL滤HTTP透明代理SMTP代理分离DNSNAT功审计报告等)附加功处理力应达1000Mbps
应支持支持扩展状态检测技术具备高性网络传输功时启动态端口应程序(VoIPH323等)时提供强力安全信道
应支持安全协议栈具备强处理功防范外网病毒攻击时应具备完整网安全理户网络情况进行实时监控时隔离异常客户端
53 网络防病毒
531 容安全网关(防毒墙)
硬件安全网关透明接入防火墙核心交换机间位网络咽喉台设备防护全网时政网中台计算机进行理配置
开启防毒墙HTTPFTPSMTPPOP3等协议扫描防止浏览网页传载收发电子邮件带病毒时阻断进出Mail服务器垃圾邮件保证邮件服务器安全高效启容滤模块进出服务器容进行滤
防毒墙通输入激活码便隔时动网更新
时带冗余系统保证系统身稳定运行网关防毒首选产品
532 企业级网络版防病毒软件
网络防病毒方面采网络版杀毒软件
应方便网络中计算机保护配置更新计算机包括:工作站文件服务器邮件服务器SMTP网关边界服务器
仅应抵御病毒蠕虫特洛木马防护新Internet攻击垃圾邮件间谍程序拨号器黑客工具恶作剧等针系统漏洞提供保护阻止安全险
应具间断保护功少天次已作更新动分发网络中采户透明新机制结果提高产品质量理员集中精力工作中
应具备功特性:
ü 应保护电子邮件通讯保护接收发送电子邮件通讯安全免受病毒感染
ü 保护整网络边界保护网Internet间连接
ü 抵挡类型Internet攻击包括客户端桌面保护
ü 通中央理工具台计算机进行整网络集中理
ü 预计量传播感染攻击信息通预先提示信息系统发布新详细相关信息
ü 日动更新抵挡新病毒
54 构建全局安全网络体系
541 概述
根现需求考虑未发展趋势需建立统信息传输网络满足数语音视频图媒体等相关信息传输实现办公财务部门等正常访问网络时满足部网络间高速转发
网络总体设计思路采星型高速太网网络体架构样架构充分提高网络扩展性易维护性稳定性
采千兆干百兆桌面设计思路采核心—汇聚—接入三层网络架构核心汇聚汇聚接入交换机均应采千兆连接时通汇聚层安全功减轻核心层路安全处理压力提高整体网络性
(1)网络出口采防火墙设备提供抵抗外网攻击等功效防止蠕虫等病毒攻击时效防止BT电驴等网络带宽占
(2)核心层原核心交换机
(3)接入层升级安全智交换机应支持丰富ACL策略防ARP欺骗功等提供丰富安全策略防止病毒网络攻击危害提供千兆扩展接口
(4)部署套综合网络安全理软件负责整网络设备服务器户PC拓扑发现设备理做实时网络流量监控预警功通套软件网员足出户理网络中台设备端口提高网员理效率整网络安全性
理软件配合构建软硬体全局安全网络体系
542 IP址规划
网络说IP规划设计非常重方面体现网络设计规范性方面日网络理维护会起非常重作
IP址规划应科学性系统性完整性扩展性原采先进网络编码技术保证信息交换效率质量相时期保持技术先进性时充分考虑现期工程实施性更加便记忆理网络建设中网络IP址规划采统IP址分配方式保证IP址唯性具体说IP址规划应该遵循原:
u 扩展性:IP址规划划分应该考虑网络发展够满足未发展需满足期工程IP址需求时充分考虑未业务发展预留相应址段
u 唯性:IP网络中两机采相IP址
u 简单性:址分配应简单易理降低网络扩展复杂性简化路表款项
u 灵活性:IP址分配需足够灵活性够满足户联网需
u 连续性:连续址层次结构网络中易进行路径叠合缩减路表提高路算法效率
u 高效性:IP址分配必须采VLSM技术充分合理利已申请址空间保证IP址利效率采CIDR技术减路器路表加快路器路收敛速度减网络中广播路信息
IP规划时候保障全网统理需接入户网络设备进行统IP规划分接入户IP规划网络设备理IP规划两部分
接入户IP规划建议采熟悉B类址17216XX样根VLAN分配IP方便日网络理者网络理然根部门者根理位置进行详细子网划分
网络设备理IP规划建议采C类址1921680X样非常方便区分设备IP易日网络维护
543 VLAN规划
网络成必少工具信息处理成日常工作重心VLAN技术运显越越重VLAN信息系统意义体现:
(1)VLAN改善网络通信效率通信流量局限子网中会子网产生干扰
(2)VLAN避免广播风暴较规模网络中量广播信息容易引起网络性急剧降低甚网络瘫痪VLAN广播子网中进行会作意义扩散消广播风暴产生条件
(3)VLAN增强网络信息安全性子网间法意进行访问信息流通相控制
(4)VLAN网络组织更具灵活性网络户网络中物理位置会影响该户逻辑访问权限说网络规划完全会受物理限制
VLAN划分IP子网规划存关系具体实施程建议进行:
(1)全网IP址进行全面规划确定子网机数量根IP子网机数量确定掩码长度
(2)确定IP子网聚合点聚合点采连续子网划分聚合点核心路交换机通告少路
(3)选择合适路协议进行子网路
(4)根IP子网规划交换机进行VLAN规划划分建立VLANIP子网应关系
(5)网络理系统采完全独立IP子网VLAN实现更安全网络设备进行理
(6)根信息流量走分布确定服务器集群VLANIP子网
(7)三层路交换机建立相应VLANVLAN绑定IP子网网关
(8)建立相应子网间访问策略三层路交换机配置访问列表
方案应选择采统标准(8021q)虚拟网标记协议交换设备真正实现跨越交换机跨越干灵活虚拟网划分
通虚拟网划分数点划分成独虚拟网方便交换数时隔离外界必干扰样应系统站点物理分布皆构成虚拟网络正坐办公室连接交换机样虚拟网间访问通层交换实现接受严格安全访问控制极关键敏感希外界交流应系统虚拟网层交换机作相应配置满足种层次安全需求直实现完全隔离受外界侵入
544 常见网络危害病毒防范设计
现网络病毒网络击影响已越越非常猖狂红色代码(codered)击波(MS Blaster)等网络病毒必网络病毒继续效控制
红色代码病毒--蠕虫特洛伊木马黑客结合双特征病毒恶意IP址扫描病毒定算法生成IP网段IP址80端口发送HTTP GET请求请求连接成功会发送包含缓溢出代码导致没补丁IIS服务器缓溢出机遭受感染 遭受病毒感染服务器台开辟600线程扫描占量系统资源次感染机WEB服务器80端口发起长度66字节SYN请求包DoS攻击病毒量扫描DoS攻击导致网络路器三层交换机载表现户网速度变慢网络阻塞性高路器三层交换机载根监听分析通60台IIS服务机网络RED CODE外相互攻击包秒通路器均达4239传播速度非常惊图:
红色代码变种利微软IIS远程缓存溢出漏洞获系统权限感染Web服务器拷贝门程序IIS设置完全享虚拟目录黑客完全访问权限全面控制攻击网络全部资源网络安全构成极高威胁
里利交换机ACL关闭网段普通机扫描端口80(样造成果非普通网员法提供WEB服务—事实应该普通网员具备提供WEB服务功)样杜绝面积病毒传播时病毒影响控制接入层核心设备病毒影响网络终断外提供充足时间网络中客户进行杀毒修复等等攻击隐患消开启应服务端口(需提供Web服务服务器)
击波病毒--蠕虫病毒针Microsoft Windows远程缓区溢出漏洞蠕虫该漏洞影响没安装MS03026补丁Windows2000Windows XPWindows 2003系统仅服务器包括计算机危害极
l 蠕虫感染系统首先检测否名BILLY互斥体存果检测该互斥体蠕虫会退出果没创建然蠕虫会注册表中添加键值:windows auto updatemsblastexe保证次户登录时候蠕虫会动运行
l 蠕虫UDP69端口建立tftp服务器受侵害系统传送蠕虫二进制程序msblastexe
l 蠕虫选择目标IP址时候会首先选择受感染系统子网IP然定算法机互连网ICMP 扫描方法选择目标攻击发送量ICMP报文(Ping包)
l 旦连接建立蠕虫会目标TCP135端口发送攻击数
l 果攻击成功会监听目标系统TCP4444端口作门绑定cmdexe
l 然蠕虫会连接端口发送tftp命令回连发起进攻机msblastexe传目标系统然运行
遭击波病毒感染计算机会出现症状:
(1) 户网变慢ping丢包严重
(2) 莫名妙死机重新启动计算机
(3) IE浏览器正常开链接
(4) 复制粘贴时出现应程序Word异常
外攻击者成功利漏洞系统权限执行意指令系统执行意操作安装程序查修改删数建立系统理员权限账户
里利交换机ACL关闭ICMP服务相应端口达控制击波病毒传播目
accesslist 101 deny tcp any any eq 135
阻止感染病毒PC正常PC135端口发布攻击代码
accesslist 101 deny udp any any eq tftp
限制目标机通tftp载病毒
accesslist 101 deny icmp any any
阻断感染病毒PC外发送量ICMP报文防止堵塞网络
然应相应网口例fa01
int fa01
ip accessgroup 101 in
样阻断Blaster蠕虫病毒传播
545 常见网络攻击防范设计
网络中针交换机攻击必须交换机攻击种:
Ø MAC 攻击
Ø DHCP攻击
Ø ARP攻击
Ø IPMAC欺骗攻击
Ø STP攻击
Ø DoSDDoS攻击
Ø IP扫描攻击
Ø 网络设备理安全
5451 MAC攻击
攻击:
交换机部MAC址表空间限MAC攻击会快占满交换机部MAC址表单播包交换机部变成广播包VLAN中端口转发连端口客户端收该报文交换机变成Hub户信息传输没安全保障
防范:
利交换机端口安全功MAC动态址锁端口静态绑定MAC1x端口端口动动态绑定MACIP限定交换机某端口学源MAC数量源MAC址该端口学MAC数量超限定数量时交换机产生违例动作
5452 DHCP攻击
DHCP攻击:
恶意户通更换MAC址方式DHCP Server发送量DHCP请求消耗DHCP Server分配IP址目合法户IP请求法实现
防范:
利交换机端口安全功:MAC动态址锁端口静态绑定MAC1x端口动动态绑定户IPMAC限定交换机某端口访问网络MAC址控制:通变化MAC址恶意请求IP址消耗IP资源DHCP攻击交换机端口MAC址数目已达允许数果该端口收源址属端口MAC安全址包时交换机采取措施
DHCP攻击二:
非法DHCP Server合法户IP请求分配正确IP址网关DNS等错误信息仅影响合法户正常通讯导致合法户信息发非法DHCP Server严重影响合法户信息安全
防范:
Ø 控制客户端发出DHCP请求报文广播出
Ø 检查控制DHCP响应报文否:合法DHCP Server发出报文
接入交换机般具DHCP Relay功收DHCP请求广播报文VLAN端口转发
选择交换机应具DHCP Relay功旦启DHCP Relay功配置DHCP ServerIP址客户端发出DHCP请求交换机中广播包形式转发出直接交换机CPU效避免DHCP请求报文广播出非法DHCP Server收
交换机CPU处理单播形式发指定DHCP Server收DHCP响应报文(OfferACKNAK报文)CPU会判定报文中源IP址否交换机中设定DHCP Server址保证DHCP响应报文合法性
仅仅设定交换机某端口接受DHCP响应报文更合理
5453 ARP攻击
ARP 攻击:ARP欺骗
ARP欺骗者:利ARP漏洞发送虚假ARP请求报文响应报文报文中源IP源MAC均虚假错误网关IP网关MAC应关系扰乱局域网中PC网关中保存ARP表网络中合法PC正常网通讯中断流量流入攻击者手中
ARP欺骗防范:
利交换机端口ARP检查安全功:开ARP报文检查ARP报文中源IP源MAC否绑定致效防止安全端口欺骗ARP防止非法信息点充网络关键设备IP(服务器)造成网络通讯混乱
5454 IPMAC攻击
MAC欺骗:
盗合法户MAC址侵入网络正常户法网
IP欺骗:
Ø 盗合法户IP址合法户通讯响应造成Ping of deathICMP达风暴
Ø 断修改IP发送TCP SYN连接攻击Server造成SYN Flood
防范:
Ø 交换机端口安全:端口静态绑定
Ø 交换机整机绑定IPMAC址
Ø DHCP动态绑定(1x认证环境S2126S支持该功)
Ø 8021x
检查IP报文中源IP源MAC否交换机中理员设定否致致报文丢弃发送告警信息
5455 STP攻击
发送虚假BPDU报文扰乱网络拓扑链路架构导致整网络瘫痪
防范:
交换机具备BPDU Guard功禁止网络中直接接户端口接入层交换机连端口收BPDU报文防范户发送非法BPDU报文
接入层交换机没冗余链路情况量开启STP协议
5456 DosDdos攻击
Dos攻击:
占网络带宽占服务器提供服务资源表现合法户请求服务响应攻击方CPU满负荷存足攻击报文采伪装源IP
防范:
RFC 28227入口滤规
5457 IP扫描攻击
许黑客攻击网络病毒入侵扫描网络活动机开始量扫描报文急剧占网络带宽导致正常网络通讯法进行
防范:
防IP扫描:检测户隔离户(发日志信息)恢复通讯(发日志信息)
监控攻击机数量隔离户时间根网络实际状况设置
5458 网络设备理安全
网络理说网络中薄弱环节旦攻击者登录交换机交换机配置安全防范措施化乌必须重视交换机理安全
Ø 般网络理协议:SNMPv2TelnetWeb等明文登录传输信息量SSHSNMPv3等秘文传输方式登录交换机交换机间加密传输
Ø 理VLAN户VLAN分开
Ø 交换机端口划VLAN中口Shutdown需时开启
Ø 限制理交换机IP选择交换机必须支持TelnetWeb源IP访问控制列表
546 全局安全网络(GSN)方案设计
单位网络建设中考虑全网网络安全应采全局安全网络解决方案整方案采分布式设计体系采身份认证系统安全策略系统时核心层旁路部署1台IDS(入侵检测)设备做安全检测
5461 安全挑战
Ø 户网络意点意接入网络出现安全问题法追查户身份
Ø 网络病毒泛滥网络攻击成升趋势安全事件发现控制基采取手工方式难时控制防范
Ø 未知安全事件网络病毒法控制
Ø 户普遍安全意识足理者单方面安全控制理难度
Ø 现安全设备工作分散法协理协工作形成单点防御种安全设备理复杂网络整体安全性提升限
Ø 某安全设备采取网络串行部署方式容易造成性瓶颈单点障
Ø 法户网络行进行记录事审计困难
5462 理挑战
Ø 户信息量设置理困难
Ø 网络出现障难准确定位迅速解决
Ø 针户IP址理困难存IP址盗IP址突等情况
Ø 难动接入户时间点进行控制
Ø 文件补丁软件难时发户
5463 方案详细介绍
高安全易理全新企业政府网解决方案六组件构成
(1) 认证理台——提供户身份址端口绑定功
(2) 安全策略台——发现安全事件进行判断确定调种安全策略进行处理
(3) 安全修复台——触发安全事件户隔离安全修复台动进行修复
(4) 入侵检测系统(IDS)——负责全网户行进行监控记录网络中存网络攻击异常流量蠕虫病毒P2P应等安全事件通告安全策略台
(5) 安全交换机——安全策略台发策略进行处理实时网络户安全事件进行阻断隔离
(6) 安全客户端——户安全行进行告警提示够安全策略台发补丁软件动安装运行
5464 安全特性
(1) 户身份IPMAC交换机端口交换机IP等信息严格绑定旦出现安全事件迅速追查
(2) 针网络中安全事件(网络攻击异常数流蠕虫病毒等)够动发现预定策略动进行处理保障网络安全
(3) 提供强实时线升级功抵御新网络攻击病毒
(4) 存安全问题户系统动告警提示户存问题处理方式提升户安全意识户切身体会安全问题严重性
(5) 网络安全组件统理协工作构建全局安全网络整套系统理简单期需投入理工作量
(6) 安全设备均旁路部署形成性瓶颈单点障部署完成极提升现网络性
(7) 系统详细记录户网络行需进行审计时迅速关联户身份接入时间接入点访问目等相关信息提供抵赖审计证
5465 理特性
(1) 应具户理模式量信息转化少量模板应设置时候少量应关系提高户理效率
(2) 户够清晰解系统动处理安全事件措施出现网络障时够提供网络线报修台提高障理效率极减轻网络中心工作压力
(3) 事件迅速追查
(4) 够提供种址绑定手段严格限定址获取方式防止IP址突盗
(5) 紧急系统补丁文件通知够简单便捷分发户户否线保证登陆网络第时间安装阅读
5466 详细功
(1) 安全功
Ø 强灵活绑定设置实现户账号户IP户MACNAS IPNAS Port静态绑定动态绑定动绑定程度保证户入网身份唯
Ø 限制户认证客户端程序类型版号动升级认证客户端程序防客户端破解
Ø 强日志功记录查询服务日志IDS详细日志系统日志理员操作日志户WEB助服务日志实现事审计
Ø 系统动发现网络中安全事件深度分析报文数字段超2000种安全事件病毒进行监测
Ø 系统进行实时线升级效防御新网络攻击病毒
Ø 针发现安全事件选择警告修复阻断三种处理方式选择事件否动执行段时间磨合理工作量
Ø 触发安全事件户进行动告警户知道网络行正监控
Ø 系统支持手动动文件发功户触发安全事件动户发修复程序该功微软紧急补丁全网发文件全网发
Ø 触发安全事件户动阻断攻击数流隔离修复区域
Ø 灵活策略发机制批量交换机进行策略部署出现紧急安全事件时第时间全网部署安全策略
Ø 日周月输出安全事件报表针认证户非认证户输出TOP 10安全排名安全理策略部署提供详细参考数
Ø 提供值守模式未知安全事件进行防御未知安全事件预设普通严重灾难三级根预先定义事件模板进行处理
Ø 系统应具备公安部安全销售许证
(2) 理功
Ø 应支持DHCP Option82配合交换机DHCP Relay实现户IP权限灵活分配
Ø 提供性化消息提示记录功包括系统广告性信息认证失败原信息户线原记录提示功
Ø 安全严格理员安全组理保证理员权限时提供灵活权限定制方式实现分级理权限细化第三级菜单
Ø 完善户理模式通完整组策略系统中服务接入控制接入时段帐号模板户组等概念系统中功进行全面系统组织仅利系统配置理利理解学系统
Ø 提供种线统计分析功包括线户信息户分布情况业务开通情况等
Ø 集成WEB网功网络中NAS设备IP网段进行统理
Ø 户WEB助注册功助申请注册查审批信息配合WEB理中户审核高效安全实现户资料收集记录
Ø 户WEB助服务功户通WEB助服务页面进行资料查询密码修改网明细查询等
Ø 支持集团户方便独立机房分级综合理
Ø 支持LDAP协议方便实施户身份信息统集中理
Ø 实时短消息功方便理员现户沟通信息发布
Ø 针户组户BACL功复合绑定策略范围漫游
5467 交换设备升级
配合部署全局安全网络接入交换机升级安全智交换机应支持千兆扩展IPV6
55 应扩展安全体系建设
单位网络信息系统公众提供外资源服务数交换量较安全性稳定性性求高应扩展必须建立更健壮安全体系
551 总体方案
总体方案应建立全局安全网络(GSN)基础加强容:
(1) 建立服务器DMZ区
(2) 加强入侵检测
(3) 采应控制引擎
(4) 构建稳定安全数中心
552 服务器DMZ区
增加应系统公众提供资源服务必建设应系统服务器群采热备负载均衡等技术实现稳定公众服务时应防范外网络病毒攻击恶意访问
必须原全局安全网络基础通网安全防火墙构建服务器DMZ区服务器区实施效安全保证防止外威胁时防止网安全威胁
553 入侵检测系统(IDS)
入侵检测系统旁路方式网络中部署实时检测数包中发现攻击行疑行求攻击行检测极高准确性错误攻击行检测攻击行身带危害巨保证准确性入侵检测系统应丰富攻击识检测技术技术中种应固优势弱点说明什没种单入侵检测技术够达户接受防护效果
IDS网络中应够阻止外部部蠕虫病毒攻击带安全威胁确保信息资产安全够检测种IM时通讯软件P2P载等网络资源滥行保证重业务正常运转够高效全面事件统计分析迅速定位网络障提高网络稳定运行时间
结合网络中网络产品网络安全产品便容易构建整体全方位安全理体系
方面集中理整网络访问控制策略监测阻止网络中种疑行收集网络中设备安全事件数进行标准化集中进行关联智分析方便户量安全时间中快速准确定位威胁方面结合漏洞扫描您提前确定系统否存已知漏洞做防范未然建立实时动仅仅响应式整体网络安全防御体系
554 应控制引擎
提供公资源服务网络流量成级数增长必须采专家级应控制引擎够全面识控制包括P2PVoIP视频流媒体HTTP网络游戏数库中间件等种应配合户定义带宽策略带宽动分配算法网络链路划分虚拟带宽通道够实现带宽限制保证带宽带宽租带宽配额应优先级机公队列等系列带宽理功提供动式智化视化带宽理应优化解决方案达视测控优化理目标带宽优化控网络规划提供科学
应实现功:
u 网络实时流量监控分析
网络流量实时采集监控精细分析网络运行状况应情况带宽情况等状况完全视化
基协议基IP址(户)两种类型实时流量分析器提供访问源目IP址服务端口应协议Session数流量等详细信息
u 应层动识分类
P2P应:BittorrenteMuleKAZAAKURONAPSTER EDONKEYAUDIOGALAXYEZPEERKUGOOGNUTELLAVAGAASOULSEEKPOCOPIGO等30种P2P软件
IM应:MSNYahooICQAOLQQYAHOOWEBIMIRCXMPP等种流IM软件
视频Streaming应:新浪直播搜狐直播RTSPSIPPPSTREAMPPLIVEAPPLEQTCCCIPTVQUICKTIMEREALPLAYERMMSQQliveH323等流视频流媒体应
网络游戏:COUNTERSTRIKE QUAKE1 DOOM3QQGAMECGASUBSPACE XBOXLIVE QUAKEHALFLIFE BATTLEFIELD1942WOW联众等网络游戏
炒股软件:智慧证劵信息台天证劵网交易系统华泰网交易分析系统证券星等炒股软件
企业办公数库中间件:HTTPSMTPPOP3IMAP文件享FTPSQL ServerOracleDB2WebSphere MQ等企业关键应
户关键应提供量身定做定义特征码
u 网络流量控制理
支持基户(源IP址)目标IP址时间协议应等参数进行灵活阻断允许功
支持基户(源IP址)目标IP址时间协议应等参数进行行行带宽控制
支持基户(源IP址)目标IP址时间协议应等参数进行Session数量控制
支持组象配置定义户组(IP组)协议组(P2P协议组游戏组)类型应相级户进行带宽理策略控制
u 流量整型应优化
支持定义虚拟带宽通道带宽限制保证带宽带宽租应优先级机公队列等系列应优化带宽理控制功
u 提供丰富图表报告分析统计
提供年应协议流量纪录生成天周月季度年时间段应协议带宽统计报告包括:总带宽分析报表应带宽分析报表基协议带宽分析报表基协议流量方(进入出)带宽分析报表基应流量方(进入出)带宽分析报表基IP址带宽分析报表户定义报表等等
u 应层防火墙
应层防火墙够识阻断黑客端口扫描DoS攻击行支持通Session数控制带宽控制提高网络性安全性
u 集中化图形化理台
提供图形化理台台理服务器集中理网络台ACE设备图形化理台采JAVA架构够适应种操作系统服务器户需利浏览器远程访问理服务器进行设备理
555 数中心构建
增加应系统公众提供资源服务便应系统业务系统数存储安全性性稳定性提出极高求必须构建数中心采基IPSAN数中心
应采应新网络存储技术开发IP SAN网络存储系统应具备容量高性全方位资料保护系统备份架构设计等优点符合网络存储快速增长需求
应支持功:
u 应具备性佳硬件RAID
应采硬件RAID技术发挥串行ATA(SATA)威力优化硬件XOR RAID 56引擎提供真正基RAID硬件智驱动理功硬件RAID控制器速率应超秒700兆字节(MBsec)持续RAID5读出400MBsec RAID5 序写入CPU应<3%
Ø 支持RAID级0110550单硬盘(JBOD)6
Ø 点点阻塞交换体系结构获高性
Ø 支持热插拔热备份保证数性
Ø 动态扇区修复数受严密保护
Ø SMART磁盘驱动器监控确保性
Ø 紧急情况快速恢复避免固件升级程中发生掉电
Ø 基浏览器理工具
u 友理界面
Ø Web网页方式理界面系统设定档案理更容易操作支持台SSL安全传输协议提供英文繁体中文简体中文等国语言接口
Ø 通理界面直接更新系统软件
Ø 动侦测系统状态电子邮件提醒理者
Ø 系统纪录方便理者追踪系统状态
Ø 支持SNMP网络理协议
Ø 详线说明(OnLine Help)功操作步骤问题时解决
u 数保存
Ø 具热插拔功硬盘插槽标准配置容纳SATA硬盘储存容量达数十TB级(750GB SATA硬盘)
Ø RAID 0151050JBOD6磁盘阵列技术RAID 156具动重建热备援功
Ø 线直接控制RAID状态线增减规划储存空间支持MultiVolume功扩充更具弹性
Ø 支持单超档案 (>2GB)
Ø 数系统设定快速周期性备份(恢复)机磁带机USB硬盘远程UnixLinux机磁带机硬盘
Ø 提供台设备间通局域网络特网进行周期性数步加密传输功台设备做远程资料步(双机热备份)
Ø 磁盘快(Snapshot)功设定低容量提醒线容量增减等功
u 强壮系统稳定
Ø 支持双网卡网段传输(Multisubnet)备援(Failover)捆绑(Bonding)功提升网络传输效确保间断网络高速传输力
Ø 整合UPS电源理机制
Ø 热插拔容错系统风扇电源供应器确保系统正常运行停机
u 跨台安全机制
Ø 支持NISLDAPMicrosoft Active Directory密码验证
Ø 支持访问控制列表(ACL)存取控制
Ø 整合Microsoft Windows NT20002003域活动目录(ADS)理架构
Ø 支持Unix NISMicrosoft ADS动态目录服务
Ø 建FTP Server直接传载档案
Ø 提供数夹层级安全存取权限设定
Ø 提供文件文件夹享级权限理理更具弹性
Ø 户目录磁盘配额理
u 广泛系统支持
Ø 网络通讯协议支持DHCPTCPIPIPXAppleTalkFTPHTTPiSCSI
Ø 档案传输协议支持SMBCIFS(Microsoft)NFS (Unix)AFP (Apple)NCP (Novell)
Ø 客户端操作系统支持Windows 9xNT2K2K3XPSolarisHPUXAIXUnixLinuxNovell NetWareMacintosh OS等
u RAID5RAID6容量热扩充功线时扩充RAID存储容量
提供热扩充(HotExpansion)功时线时扩充RAID5RAID6存储容量项功必系统关机进行仅容量扩充更具弹性维持系统高性
举例说建立存储系统初存储需求仅需2TB系统中安装6400GB硬盘组成RAID5年该存储容量已够系统理员决定扩充1TB时仅需插入三400GB硬盘系统中两硬盘设定该RAID5群组该群组马拥32TB存储容量扩充容量程中系统然线保持运转完全必关机进行
热扩充功具列特色:
Ø 时插入硬盘进行容量扩充
Ø 扩充容量前需事先转移资料
Ø 档案系统中逻辑卷册时动态扩充需重新启动
Ø UNIXLinux环境中需重新设置挂载点存取权限
Ø Windows环境中需重新设置网络享硬盘享权限
u 全局热备份硬盘(Global HotSpare)
谓热备份硬盘指装置RAID存储系统中时做存储资料存资料RAID硬盘损坏时热备份硬盘会立取代受损坏硬盘系统通容错演算法备份硬盘重建资料系统资料存取工作中断系统提供热备份硬盘功效保证存放系统中资料完整性性
系统提供热备份硬盘提供系统中组RAID群组称全局热备份硬盘说系统中系统侦测组RAID15群组中硬盘发生损坏马热备份硬盘取代马进行RAID资料重建工作资料重建程中系统然提供资料存储服务会发生服务中断现象
u 整合UPS电源理机制
市面部分NAS产品标榜支持UPS仅提供连接UPS功系统身电源理提供UPS关监控理系统电源理机制完全整合UPS中通系统理界面便够轻松设定监控UPS系统避免预警电力招致中断
果市电发生中断情况系统会方式系统安全关机避免发生突然断电造成资料损毁情况发生时系统理员会收系统发出断电事件通知系统事件记录中查相关状况UPS整合电源理机制带项处:
Ø 市电中断时保护存放系统中资料
Ø 发生电源问题时时通知系统理员
Ø 采图形化操作理界面减轻理负担
u 快功
快功提供快速方便虚拟复制功关键数系统连续工作软件测试关键应等着重意义瞬时时间点数拷贝中型企业户高性求情况通量缩短备份窗口获量高端数处理力理员轻松点鼠标存储理员做:
Ø 建立逻辑卷册瞬间拷贝
Ø 动时间初始化
Ø 建立快拷贝增长策略
u 虚拟化逻辑卷理
虚拟化逻辑卷理特点允许台服务器直接连接存储空间户增加存储容量时候操作象虚拟存储池独立物理硬盘存储虚拟化产生扩展删移动者选择性提供存储需顾底层存储子系统简化存储供应减少系统理员理费直接影响总拥成
u iSCSI功
应支持iSCSI通iSCSI功轻松搭建IP SANiSCSI(互联网型计算机系统接口)种Internet协议网络特太网进行数块传输标准
u 高扩展性
外接磁盘单元扩充机存储空间支持>256颗硬盘750GB SATA硬盘支持>192TB容量
u 存储虚拟化
外接SCSI卡FC HBA卡(光纤通道卡)整合现SCSI磁盘系统FC磁盘系统通iSCSI方式提供机访问
u 重复文件动删功(Single Instance Storage)
SIS减少存放服务器重复数时找出相文件单份文件复储存存储空间指 SIS 享存储空间文件指针取代文件SIS 需者介入动工作系统理员采单分区单位启 SIS结果系统理员支持 SIS 备份应程序
SIS服务器磁盘保存份容相文件然应程序言存份相文件通须者介入动建立利SIS技术节省超 35 磁盘空间时减少存储空间理成
6 方案特色
u 专业防火墙确保外数交换安全
u 防火墙强P2P应识力流量理功保障关键应部门带宽
u 防病毒墙网络杀毒软件全局安全网络等软硬体系配合立体防范外攻击病毒入侵
u IPMAC端口帐号等元素绑定网实名理
u 全面ARP防御功造永掉线办公网络
u 接入交换机DHCP动态址绑定功造易维护信办公网
u 接入交换机安全访问控制(ACL)功遏制蠕虫病毒泛滥源头
u 交换机VLAN隔离技术保障部门通信安全
u 专家级流量监控控制
u 防火墙置入侵防御引擎全面阻挡网络黑客病毒入侵
u 全网图形化网提升单位网络理效率
u 成熟认证系统实现准确效身份认证保证接入公性
u 强扩展升级力保护现网络建设投资
u 安全服务器区域
u 稳定扩展性极高IPSAN存储系统
u 事先防范事定位快速恢复
7 建设计划资金预算
71 方案1—中低配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL160M
固化4GE口+1FE口支持Bypass功提供1模块化插槽支持4GE4SFP2GE
2SFP扩展扩展8千兆口
1
65000
65000
必备
网络杀毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
合计
145000
第二阶段
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
60000
60000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2126G
24口10100M交换机两扩展槽100M1000M光纤电口模块支持堆叠
10
7400
74000
必备
入侵检测系统
RGIDS500
百兆级IDS入侵检测系统2 101001000M RJ45接口2 10100M RJ45接口支持1路理3路监听
1
120000
120000
必备
合计
278000
第三阶段
专家级应控制引擎
应控制引擎
RGACE1000
千兆应控制引擎500Mbps处理力4千兆电口+1千兆理接口+1千兆HA接口(电口置Bypass功)
1
150000
150000
选
数中心
IPSAN
RGiS1000E
64位高速双核存储处理器2GB缓存4GE端口(扩展)12盘位支持SAS硬盘含理软件盘位扩展含NAS功模块通CIFSNFS提供跨台文件享服务
1
76000
76000
必备
RGiS1000EJ
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
60000
60000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
382000
总计
805000
72 方案2—中档配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL1600S
千兆防火墙VPN网关固化6GE口+2SFP口提供2模块化插槽支持8GE8SFP4GE4SFP扩展扩展24千兆口支持Bypass功配置冗余电源标准2U设备
1
130000
130000
必备
合计
130000
第二阶段
网络防病毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
防毒墙
方正熊猫安全网关 PAGD8100(TX)
防病毒反垃圾邮件容滤
1
150000
150000
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
55000
55000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2628G
24口10100M交换机2101001000端口2千兆SFP光口复1扩展槽千兆模块堆叠模块
10
9400
94000
必备
入侵检测系统
RGIDS1000
千兆IDS入侵检测系统2千兆RJ45接口2SFP插槽模块支持3路千兆监听
1
220000
220000
必备
合计
623000
第三阶段
专家级应控制引擎
应控制引擎
RGACE1000
1
150000
150000
选
数中心
IPSAN
RGiS1000E
64位高速双核存储处理器2GB缓存4GE端口(扩展)12盘位支持SAS硬盘含理软件盘位扩展含NAS功模块通CIFSNFS提供跨台文件享服务
1
76000
76000
必备
RGiS1000EJ
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
60000
60000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
382000
总计
1135000
73 方案3—中高配置方案
阶段
方案
设备软件名称
建议规格型号
产品说明
数量
预算单价
预算计
备注
第阶段
出口安全
防火墙
RGWALL 1800
千兆中高端防火墙VPN网关固化4GE口+4SFP口提供1模块化插槽支持8GE8SFP4GE4SFP扩展支持2口万兆光模块电口支持Bypass功配置冗余电源标准2U设备
1
230000
230000
必备
合计
230000
第二阶段
网络防病毒
网络杀毒软件
防病毒安全套装 PESA40
400客户端
1
80000
80000
选
防毒墙
方正熊猫安全网关 PAGD8100(TX)
防病毒反垃圾邮件容滤
1
150000
150000
全局安全网络
RGSMP2X标准版
RGSMP2X标准版
RGSMP 2X软件标准版直接支持Radius身份认证独立运行须配合SAM软件体包含100户授权
1
55000
55000
必备
RGSMP 2X 标准版License
RGSMP 2x软件LicenseLicense增加50户授权许
6
4000
24000
必备
GSN客户端
400
0
0
必备
安全智交换机
RGS2628G
24口10100M交换机2101001000端口2千兆SFP光口复1扩展槽千兆模块堆叠模块
10
9400
94000
必备
入侵检测系统
RGIDS1000
千兆IDS入侵检测系统2千兆RJ45接口2SFP插槽模块支持3路千兆监听
1
220000
220000
必备
合计
623000
第三阶段
专家级应控制引擎
应控制引擎
RGACE2000
中端千兆应控制引擎2Gbps处理力2千兆SFP光口2千兆电口+1千兆理接口+1千兆HA接口(电口置Bypass功光口实现Bypass功需外配置RGACEOBS模块)
1
380000
380000
选
数中心
IPSAN
RGiS2000 V20
64位高速双核存储处理器2GB缓存6GE端口1SAS机接口12盘位支持SAS硬盘含理软件扩展
1
150000
150000
必备
RGiS2000J
12盘位扩展柜(JBOD)支持SATASAS硬盘
1
110000
110000
RGiSNAS
NAS功模块通CIFSNFS提供跨台文件享服务含快镜复制重复数删功模块
1
48000
48000
硬件
视实际存储量定1TB SATA企业级磁盘
12
8000
96000
定
合计
784000
总计
1637000
8 设备选型
81 防火墙RGWALL160M
RGWALL160M防火墙
811 产品特性
u 独立安全协议栈
采研发RGSecOS完整实现状态检测包滤应代理防火墙入侵检测防护IPSec VPN抗DDoS攻击深度容检测带宽理流量控制等综合安全网关功摆脱通操作系统束缚通操作系统漏洞动追通操作系统升级升级
u 强处理性
采快速流检测(FFDFast Flow Detect)引擎网络报文处理流程进行革命性改造优化关键处理程移硬件中断里实现流分类流交换产品采分段直接寻址安全规搜索算法(MSDALMultiStage Direct Addressing Lookup Algorithm)减少系统部务间切换存缓存理安全规匹配性消耗提升整系统处理性
u 完整网安全理
理员实时查网户线情况登录IP线时间流量连接数等详细信息网户网情况目然通独智隔离技术实时识出网络流量异常线户隔离防止病毒网传播
u 深度容检测
采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障
812 技术参数
技术参数
参数描述
产品名称型号
RGWALL 160M
物理特性
尺寸(长×宽×高)
标准19英寸宽度1U高度
重量
5kg
容错电源备份
100240V5060Hz
支持电源
单电源
工作温度
0~50℃
存储温度
20~70℃
存储湿度
5~95
系统性
固定接口
固化4GE口+1FE口支持Bypass功
模块插槽
提供1模块化插槽支持4GE4SFP2GE
2SFP扩展扩展8千兆口
安全策略数
65535
VLAN数量
4096
包延时
45µs
MTBF
≥100000时
操作模式
操作系统
RGSecOS
二层模式(透明模式)
支持
三层模式(路NAT模式)
支持
混合模式
支持
NAT(网络址转换)
支持
PAT(端口址转换)
支持
应代理
支持FTPHTPPPOP3SMTP预定义定义
VLAN路
支持
STPBPDU协议
支持
接口户数
限制
防火墙特性
攻击检测保护
支持
IPMAC绑定
支持
规时效属性
支持
预定义服务网络象
支持单服务服务组定义
URL滤
支持
关键字滤
支持
阻断URL列表导入
支持256URL
置防病毒
支持
Email址滤
支持
Email题滤
支持
Email容滤
支持
Email附件名滤
支持
Email附件滤
支持
FTP命令滤
支持
禁止线程载
支持(通连接限制设置)
P2P应控制
支持限制带宽控制
IM应控制
支持QQSkypeMSN
ActiveXJava appletJava script滤
支持
支持容滤协议种类
支持HTPPFTPPOP3SMTP
IPS规
支持1247条规
应代理
支持FTPHTPPPOP3SMTP预定义定义
动态端口协议检测
支持FTPPPTPRSTPSTPSQL NETTFTPMMSH323H323GK
集成实时检查
支持TCPUDPICMP连接实时监控
配置操作
支持CLISSHWEB
路特性
OSPF动态路
支持
RIP动态路
RIPv1v2均支持
静态路
支持
H323 over NAT
支持
策略路规路
支持
DHCP
支持DHCP ServerDHCP ClientDHCP中继
PPPoE
支持
VPN特性
VPN通道数
根需灵活配置
支持VPN类型
PPTPL2TPIPSecSSL VPN
加密算法
DES3DESAES
认证算法
SHA1MD5
完全传输安全标准(PFS)
支持
IPSec协议
支持
手工密钥IKE
支持
端认证
扩展认证支持
IPSec NAT穿越
支持
星型结构VPN
支持
动态VPN接入
支持
QoS支持
支持
连接期时间
支持
Replay protection
支持
流VPN设备协
支持Cisco华H3CJuniper等
系统理
理员数库
支持
限制性理网络
支持
理员分级
支持
软件升级
支持WEB命令行升级
配置更改
支持WEB命令行
认证方法
支持证书第三方证书电子钥匙
理方式
支持WEB命令行
简单配置导
支持
标准MIB私MIB
支持
SNMP
支持SNMPv1v2v3
集中理
支持
理
支持
远程理
支持
界面会话查询
支持
病毒库更新
支持
日志监控
部日志数库
支持
外部日志服务器
支持
远程系统日志服务器
支持
审计报告
支持
实时统计
支持
日志级
支持
日志备份
支持
状态显示
支持
日志高调试信息印终端
支持
报警方式
支持
高性
HA模式
支持路模式透明模式HA
切换条件
防火墙断电物理链路断线
配置文件变化步
支持配置状态步
HA设备认证
支持(单台防火墙雷)
HA数加密
支持(单台防火墙雷)
状态切换时间
1秒
流量整形QoS
接口优先级队列
支持带宽控制优先级选择
限制带宽
支持
保证带宽
支持
带宽控制粒度
低带宽控制50Kbps
数流定义
支持
服务器负载均衡
支持
82 防火墙RGWALL1600S
821 产品概述
RGWALL1600S面型园区网出口户开发新代电信级高性防火墙设备RGWALL1600S采新硬件台体系架构实现防火墙性跨越式突破支持数十GE接口广泛应教育政府金融医疗军队医疗等行业千兆网络环境配合锐捷网络交换机路器产品户提供完整端端解决方案型网络出口策略区域间安全互联理想选择
RGWALL1600S防火墙采锐捷网络开发RGSecOS独创分类算法高速性受策略数会话数少影响产品安装前丝毫会影响网络速度时RGWAL1600E核层处理数包接收分类转发工作会成网络流量瓶颈外RGWALL具入侵监测功判断攻击提供解决措施入侵监测功会影响防火墙性
RGWALL1600S支持深度状态检测外部攻击防范网安全流量监控邮件滤网页滤应层滤等功够效保证网络安全提供种智分析理手段支持邮件告警支持种日志提供网络理监控协助网络理员完成网络安全理支持PPTPL2TPIPSecSSL等种全面VPN业务构建种形式VPN提供强路力支持静态RIPOSPF路策略策略路支持双机状态热备支持ActiveActiveActiveStandby两种工作模式丰富QoS特性充分满足客户网络高性求
RGWALL1600S防火墙支持模块:
Ø 4千兆电口光口模块
Ø 8口千兆电口光口模块
822 产品特性
独立安全协议栈
RGWALL1600S防火墙采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障
采先进硬件台
通核系统实现数流量调度极提高设备处理性满足户高性安全设备处理力需求
深度状态检测
RGWALL1600S防火墙采独立安全协议栈处理通协议栈网络数基网络行检测流关联分析技术支持网络数病毒滤支持入侵检测(IPS)支持P2P时通讯软件限制支持URLWEB容滤支持邮件容滤支持FTP容滤种IDS产品联动细粒度网络安全理提供利技术保障支持时间段进行滤支持连接状态信息维护监测动态滤数包支持FTPHTTPSMTPRTSPH323等应层协议状态监控
强处理力
RGWALL1600S防火墙采快速流检测(FFDFast Flow Detect)引擎网络报文处理流程进行革命性改造优化关键处理程移硬件中断里实现流分类流交换产品采分段直接寻址安全规搜索算法(MSDALMultiStage Direct Addressing Lookup Algorithm)减少系统部务间切换存缓存理安全规匹配性消耗提升整系统处理性支持静态网段双转换等种形式NAT提供源基目策略路支持高速处理性基受策略条目发连接数目影响
支持全面网络攻击防护
支持CCSYN floodDNS Query Flood等DoSDDoS攻击防护支持MACIP绑定功支持智防范蠕虫病毒技术TCP报文标志位合法攻击防范超ICMP报文攻击防范等等网络攻击防护
完善日志理审计
提供种日志功流量统计分析功种事件监控统计功邮件告警功配合日志理系统完成日志记录查询分析
独立VPN模块
置专硬件VPN模块支持PPTPL2TPIPSecSSL VPN等种VPN业务模式
支持高性
支持双机状态热备功支持ActiveActiveActivePassive两种工作模式实现负载分担业务备份设备关键部件均采冗余设计
823 技术参数
技术参数
参数描述
产品名称型号
RGWALL1600S
物理特性
尺寸(长×宽×高)
标准19英寸宽度2U高度
容错电源备份
双电源冗余备份
电源
AC 100240V5060Hz400W
工作温度
0~50℃
存储温度
20~70℃
存储湿度
5~95
系统性
产品架构
x86核
接口
固化6GE口+2SFP口
模块插槽
提供2模块化插槽支持8GE8SFP4GE4SFP扩展
发连接数
200万
安全策略数
65535
VLAN数量
4096
包延时
40μs
MTBF
≥100000时
操作模式
操作系统
RGSecOS
二层模式(透明模式)
支持
三层模式(路NAT模式)
支持
混合模式
支持
NAT(网络址转换)
支持
PAT(端口址转换)
支持
应代理
支持FTPHTPPPOP3SMTP预定义定义
VLAN路
支持
STPBPDU协议
支持
接口户数
限制
防火墙特性
攻击检测保护
支持
IPMAC绑定
支持
规时效属性
支持
预定义服务网络象
支持单服务服务组定义
URL滤
支持
阻断URL列表导入
支持256URL
置防病毒
支持
Email址滤
支持
Email题滤
支持
Email容滤
支持
Email附件名滤
支持
Email附件滤
支持
FTP命令滤
支持
禁止线程载
支持(通连接限制设置)
P2P应控制
支持限制带宽控制
IM应控制
支持QQSkypeMSN
ActiveXJava appletJava script滤
支持
支持容滤协议种类
支持HTPPFTPPOP3SMTP
IPS规
支持1247条规
应代理
支持FTPHTPPPOP3SMTP预定义定义
动态端口协议检测
支持FTPPPTPRSTPSTPSQL NETTFTPMMSH323H323GK
集成实时检查
支持TCPUDPICMP连接实时监控
配置操作
支持CLISSHWEB
路特性
OSPF动态路
支持
RIP动态路
RIPv1v2均支持
静态路
支持
H323 over NAT
支持
策略路规路
支持
DHCP
支持DHCP ServerDHCP ClientDHCP中继
PPPoE
支持
VPN特性
VPN通道数
根需灵活配置
支持VPN类型
PPTPL2TPIPSecSSL VPN
加密算法
DES3DESAES
认证算法
SHA1MD5
完全传输安全标准(PFS)
支持
IPSec协议
支持
手工密钥IKE
支持
端认证
扩展认证支持
IPSec NAT穿越
支持
星型结构VPN
支持
动态VPN接入
支持
QoS支持
支持
连接期时间
支持
Replay protection
支持
流VPN设备协
支持Cisco华H3CJuniper等
系统理
理员数库
支持
限制性理网络
支持
理员分级
支持
软件升级
支持WEB命令行升级
配置更改
支持WEB命令行
认证方法
支持证书第三方证书电子钥匙
理方式
支持WEB命令行
简单配置导
支持
标准MIB私MIB
支持
SNMP
支持SNMPv1v2v3
集中理
支持
理
支持
远程理
支持
界面会话查询
支持
病毒库更新
支持
日志监控
部日志数库
支持
外部日志服务器
支持
远程系统日志服务器
支持
审计报告
支持
实时统计
支持
日志级
支持
日志备份
支持
状态显示
支持
日志高调试信息印终端
支持
报警方式
支持
高性
HA模式
支持路模式透明模式HA
切换条件
防火墙断电物理链路断线
配置文件变化步
支持配置状态步
HA设备认证
支持(单台防火墙雷)
HA数加密
支持(单台防火墙雷)
状态切换时间
1秒
流量整形QoS
接口优先级队列
支持带宽控制优先级选择
限制带宽
支持
保证带宽
支持
带宽控制粒度
低带宽控制50Kbps
数流定义
支持
服务器负载均衡
支持
824 扩展模块
产品订购信息
型号
描述
RGWALL1600S
千兆低端防火墙VPN网关固化6GE口+2SFP口提供2模块化插槽支持8GE8SFP4GE4SFP扩展扩展24千兆口支持Bypass功配置冗余电源标准2U设备
RGWALL 1600MIM4GBE
4口千兆电模块
RGWALL 1600MIM4GEF
4口SFP光模块
RGWALL 1600MIM8GBE
8口千兆电模块
RGWALL 1600MIM8GEF
8口SFP光模块
产品订购信息
型号
描述
RGWALL VPN UPG200
RGWALL VPN 许升级VPN隧道数200
RGWALL VPN UPG500
RGWALL VPN 许升级VPN隧道数500
RGWALL VPN UPG1000
RGWALL VPN 许升级VPN隧道数1000
RGWALL VPN UPG2000
RGWALL VPN 许升级VPN隧道数2000
RGWALL VPN UPG5000
RGWALL VPN 许升级VPN隧道数5000
产品订购信息
型号
描述
RGWALL VPN Client20
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量20
RGWALL VPN Client50
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量50
RGWALL VPN Client200
防火墙IPSec VPN客户端移动IPSec VPN户支持户数量200
83 RGS2126G安全智交换机
831 产品概述
STARS2126G全线速堆叠安全智交换机提供智流分类完善服务质量(QoS)组播应理特性时根网络实际环境实施灵活样安全控制策略效防止控制病毒传播网络攻击控制非法户网络保证合法户合理网络资源充分保障网络安全网络合理化运营
STARS2126G通SNMPTelnetWebConsole口等种配置方式提供丰富理S2126G极高性价类型网络提供完善端端QoS服务质量灵活丰富安全策略理基策略网化满足高速安全智企业网新需求
832 产品特性
u 高性
Ø 高背板带宽端口提供线速交换力
u 灵活完备安全控制策略
Ø 通锐捷网络全局安全解决方案GSN结合安全策略方面户提供全新立体三维技术特性解决方案完全解安全威胁攻击欺骗病毒侵害等危害
Ø 通种安全机制效防止控制病毒传播网络流量攻击控制非法户网络保证合法户合理化网络端口安全端口隔离专家级ACL时间ACL端口ARP报文合法性检查基数流带宽限速六元素绑定等满足企业网网络加强访问者进行控制限制非授权户通信需求
Ø 硬件实现端口MAC址户IP址灵活绑定严格限定端口户接入
Ø 保护端口必占VLAN资源非常方便隔离户间信息互通充分保护户隐私
Ø 通安全计费理台SAM仅实现户账号MAC址IP址交换机IP交换机端口等六元素间灵活意绑定效确认户身份合法性唯性更通交换机特色硬件动态绑定保障户身份始终致性避免户恶意篡改身份信息进行非法攻击等行
Ø 专硬件防范ARP网关ARP机欺骗功效遏制网络中日益泛滥ARP网关欺骗ARP机欺骗现象保障户正常网
Ø 支持DHCP Relay更支持DHCP Option 82方便实现IP址精确分配控制支持DHCP Snooping效防范动静态分配IP址环境ARP欺骗问题
Ø 提供极效Port Blocking功避免阻止端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户PC更高效安全运行
Ø 基源IP址控制TelnetWeb设备访问控制避免非法员黑客恶意攻击控制设备增强设备网安全性
Ø SSH(Secure Shell)SNMPv3技术通TelnetSNMP进程中加密理信息保证理设备信息安全性防止黑客攻击控制设备
Ø 种类型硬件ACL控制灵活控制二-七层数报文户PC应报文通网络效控制充分保障网络安全合理化
u 完善QoS策略
Ø 支持8021PDSCP端口优先级IP TOS二七层流滤等QoS策略具备MAC流IP流应流等层流分类流控制力实现带宽控制转发优先级等种流策略支持网络根应应需服务质量提供服务
Ø 极灵活带宽控制力基交换机端口MAC址IP址VLAN ID协议应组合进行灵活带宽限速限速粒度精细:1Mbps(128KB)粒度百兆端口8Mbps(1024KB)粒度千兆端口根网络安全需求设定业务应带宽流量满足网络带宽需
u 丰富组播特性
Ø 支持业界特IGMP源端口检查效杜绝非法组播源播放量占量网络带宽提高网络安全性
Ø 支持识IGMPv1v2IGMPv3全部版组播报文适应组播环境避免非法组播数流占网络带宽满足组播安全应需
u 高性
Ø 支持生成树协议8021D8021w8021s完全保证链路快速收敛提高容错力保证网络稳定运行链路负载均衡网络通道合理化提供冗余链路利率
Ø 支持端口环路检测快速检测端口联出现环路情况动环路端口关闭定时启动保障网络
u 方便易易理
Ø 强菊花链式堆叠支持S2126GS2150G混合堆叠保证网络高度灵活扩展网络理更加简单
Ø 提供图形化安全策略理台支持安全策略动步发升级维护功安全策略智化幅度提高交换机理配置效率提高网络安全
Ø 实施种安全措施基础S21根网络理灵活性特殊性需网络特殊户设备方便理开启安全通道实现安全灵活兼网络理理念
Ø 端口VLAN动跳转功需网员手工干预端口跳转户VLAN实现户全网漫游网减轻设备配置维护量
Ø 端口步监控通端口时监控端口数流监控输入帧监控输出帧双帧提高维护效率
Ø 简单网络时间协议(SNTP)保证交换机时间准确性网络中时间服务器时间统化方便日志信息流量信息分析障诊断
Ø Syslog方便种日志信息统收集维护分析障定位备份便理员进行网络维护理
Ø 独特集群理通台命令交换机理达20台S21系列交换机交换机否配线间布线室
Ø 强集群理方式网络维护工作变非常方便简单需配置1IP址理台设备仅成倍节省IP址空间维护理量极降低
Ø CLI界面方便高级户配置
Ø Javabased Web理方式实现交换机视化图形理快速高效配置设备
833 技术参数
产品型号
STARS2126G
固定端口
24端口10100适应
模块插槽
2扩展插槽
模块
单口1000BASESX模块
单口1000BASELX模块
单口1000BASETX模块(支持101001000M适应)
单口100BASEFX模块
单口100BASEFX单模模块
单口100BASETX模块
堆叠模块
背板带宽
128Gbps
包转发速率
线速(66 Mpps)
8021q VLAN
4K
ACL
标准IP ACL(基IP址硬件ACL)
扩展IP ACL(基IP址传输层端口号硬件ACL)
MAC扩展ACL(基源MAC址目MAC址选太网类型硬件ACL)
基时间ACL
专家级ACL(时基VLAN号太网类型MAC址IP址TCPUDP端口号协议类型时间灵活组合硬件ACL)
ACL 80
L2协议
IEEE8023IEEE8023uIEEE8023z IEEE8023xIEEE8023adIEEE8021pIEEE8021xIEEE8023abIEEE8021Q(GVRP)IEEE8021dIEEE8021wIEEE8021sIGMP Snooping v1v2v3
理协议
SNMPv1v2Cv3Web(JAVA)CLI(TelnetConsole)RMON(1239)集群SSHSyslogSNTP
协议
BOOTPDHCP RelayDNS Client
尺寸(长× 宽× 高)
440 × 240 ×44mm
电源
160VAC~240VAC48Hz~60Hz
温度
工作温度: 0℃ 45℃
存储温度:40ºC 70ºC
湿度
工作湿度: 10 90 RH
存储湿度: 5 90 RH
84 防病毒安全套装 PESA40
方正熊猫企业级防病毒安全套装( PESA )高性稳定防病毒解决方案方便网络中计算机保护配置更新计算机包括:工作站文件服务器ExchangeDomino邮件服务器SMTP网关边界服务器仅抵御病毒蠕虫特洛木马防护新英特网攻击垃圾邮件间谍程序拨号器黑客工具恶作剧针系统漏洞提供保护阻止安全险
方正熊猫企业级防病毒安全套装( PESA )具间断保护功少天次已作更新动分发网络中采户透明新机制结果提高产品质量理员集中精力工作中
841 PESA特性
保护电子邮件通讯保护接收发送电子邮件通讯安全免受病毒感染
保护整网络边界保护网络英特网间连接
抵挡类型英特网攻击包括新瘦客户端桌面保护
通新中央理工具AdminSecure台计算机进行整网络集中理
非常适窄带宽网络瘦客户端AdminSecure种类型网络特设计
通命令方式防病毒程序CommandlineSecure集成Linux提供防病毒保护
预计量传播感染攻击信息通预先提示信息系统发布新详细相关信息
日动更新抵挡新病毒
提供365天24时电话技术支持专家通电话电子邮件时处理您问题
842 模块介绍
1)理工具: Panda AdminSecure
2)工 作 站: Panda ClientShield (Windows全系列)
3)文件服务器:Panda FileSecure (Win32Novell)
4)邮件服务器:Panda ExchangeSecure
5)邮件服务器:Panda DominoSecure
6)LinuxSMTP网关:(SendmailSecure QmailSecurePostfixSecure)
7)兼容CVP防护:Panda CVPSecure
8)网关防护:Panda ProxySecure Panda ISASecure
85 入侵检测系统RGIDS500
851 产品概述
入侵检测系统旁路方式网络中部署实时检测数包中发现攻击行疑行求RGIDS攻击行检测极高准确性错误攻击行检测攻击行身带危害巨保证准确性RGIDS种攻击识检测技术技术中种固优势弱点说明什没种单入侵检测技术够达户接受防护效果
RGIDS 采层分布式体系结构五部分程序组件组成:控制台EC(事件收集器)LogServer(数服务器)Sensor(传感器)报表查询工具
RGIDS 500具备完整入侵检测理功完全适需时监控百兆网络环境支持3百兆监听口1U硬件
RGIDS网络中够阻止外部部蠕虫病毒攻击带安全威胁确保企业信息资产安全够检测种IM时通讯软件P2P载等网络资源滥行保证重业务正常运转够高效全面事件统计分析迅速定位网络障提高网络稳定运行时间
结合锐捷网络网络产品网络安全产品便容易构建整体全方位安全理体系方面集中理整网络访问控制策略监测阻止网络中种疑行收集网络中设备安全事件数进行标准化集中进行关联智分析方便户量安全时间中快速准确定位威胁方面结合漏洞扫描您提前确定系统否存已知漏洞做防范未然建立实时动仅仅响应式整体网络安全防御体系
852 产品特性
ü 领先检测技术
RGIDS采基状态应层协议分析技术状态协议分析技术基已知协议结构解通分析数包结构连接状态检测疑连接事件极提高检测效率准确性仅准确识已知攻击识未知攻击采IDS躲避技术攻击手段彻底失效利协议分析已知通信协议处理数帧连接时更加迅速效准确减少误报性
够关联数包前容孤立数包进行检测普通IDS检测数包着质区具判通信行真实意图力会受URL编码干扰信息IP分片等入侵检测系统规避技术影响
ü 高性
RGIDS采高效入侵检测引擎综合虚拟机解释器进程线程技术配合专门设计高性硬件专台够实时处理高达两千兆网络流量
ü 行描述代码
户非常方便司提供行描述代码行创建符合企业求新特征签名扩检测范围性化入侵检测系统
ü 分布式结构
RGIDS采先进层分布式体系结构包括控制台事件收集器传感器种结构够更保证整系统生存性性带更灵活性更伸缩性适应种规模企业网络安全理需
ü 全面检测力
l 支持预攻击探测行检测
l 支持口令猜测行检测
l 支持Windows系统漏洞攻击检测
l 支持Unix系统攻击检测
l 支持洛伊木马活动检测
l 支持蠕虫病毒传播检测
l 支持拒绝服务攻击检测
l 支持CGIWWW 攻击检测
l 支持缓区溢出攻击检测
l 支持非法访问行检测
l 支持常见P2P软件活动检测
l OS FingerPrint识力
l FTPWWWSMTPSMBNNTPNDMPSIP等常见协议兼容性检测
l 支持户定义网络连接事件检测
l 支持户定义签名检测
ü 高性
RGIDS软件硬件紧密结合体化专硬件设备硬件台采严格设计工艺标准保证高性独特硬件体系结构提升处理力吞吐量操作系统优化安全性处理保证系统安全性抗毁性
ü 高性
RGIDS组件支持HA冗余配置保证提供间断服务
ü 隐秘部署
RGIDS支持安全部署模式隐秘配置
ü 灵活响应
RGIDS提供丰富响应方式:控制台发出警告发提示性电子邮件网络理台发出SNMP消息动终止攻击重新配置防火墙执行户定义响应程序等
ü 低误报率
RGIDS采基状态应层协议分析技术时允许户灵活调节签名参数创建新签名降低误报率提高检测准确性
ü 简单易
RGIDS安装简单升级方便查询灵活生成适合级理者意需种格式报告
853 技术参数
物理特性
理接口
1*10100BaseTX
监控接口
1*10100BaseTX + 1*101001000BaseTX
扩展接口
NA
产品形态
1U机架
冗余电源
NA
尺寸 (cm)
44*43*44
重量 (kg)
10
安全策略
秒数流量
400Mbps
秒抓包数
480000pps
秒监控新建TCP连接数
28000
秒监控新建HTTP连接数
18000
监控TCP发连接数
1500000
监控HTTP发连接数
750000
工作环境
工作电压
100–240 AC
电源频率
50–60 Hz
工作电流
6A
工作温度
10 to 35ºC (50 to 95ºF)
存储温度
–40 to 65ºC (–40 to 149ºF)
相工作湿度
8 to 80(冷凝)
相存储湿度
5 to 95(冷凝)
功率
250W
86 RGSMP安全网络理台
861 产品概述
RGSMP安全理台软件系统锐捷网络GSN全局安全网络解决方案核心组成部分GSN全局安全网络解决方案定位网络访问控制NAC领域网络接入者身份接入机健康性网络通信安全性等方面户构建全局安全网络RGSMP安全理台软件作GSN解决方案核心承载着三方面重功
RGSMP安全理台配合锐捷网络安全智交换机根户需求采接入层认证汇聚层认证方式部署实施校园宿舍网办公网企业金融政府医疗等行业办公网等局域网环境实现户身份机健康性网络通信安全性等方面理
862 产品特征
8621 身份认证功
Ø 基8021X协议身份认证体系
Ø 基户身份网络访问权限控制体系
Ø 基包括户名密码IP址MAC址认证交换机IP认证交换机端口号等6元素灵活绑定保障户身份正确性
Ø 户短消息修复程序动发功
Ø 户线日志功
Ø 户黑名单功
*身份认证相关功需配合锐捷网络支持8021X认证交换机客户端RGSU完成
8622 机端点防护功
Ø Windows补丁强制更新功(需配合微软WSUS服务器)
Ø 杀毒软件联动功(需配合应杀毒软件)
Ø 户端软件安装黑白名单功
Ø 户端注册表关键键值检测修复功
Ø 户端台服务检测修复功
Ø 户端进程检测强制开启关闭功
Ø 户端软硬件情况收集统计功
Ø 违规户动隔离功
*机端点防护相关功需配合锐捷网络支持8021X认证交换机客户端RGSU完成
8623 网络通信保护功
Ø 业界流IDS产品联动功
Ø ARP攻击三重立体防御功
Ø 基网络攻击动隔离阻断功
Ø 攻击日志报表理功
*IDS联动功需配合锐捷网络入侵检测设备合作品牌入侵检测设备RGSEP安全事件解析器进行
*ARP欺骗三重立体防御功需配合锐捷网络安全智三层交换设备安全智客户端RGSU完成
— END —
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
